Warum beschränkt live.com Passwörter auf 16 Zeichen? [geschlossen]

12

Ich wollte eine @ live.com-E-Mail-Adresse registrieren, es wird jedoch darauf hingewiesen, dass keine E-Mail-Adresse mit einem Kennwort mit mehr als 16 Zeichen registriert werden kann.

Warum? Damit es einfacher wäre, das richtige Passwort zu bekommen? (Wenn die Passwort-Hashes gestohlen wurden.)

microsoft LanceBaynes
quelle
1
Ich habe diese Höchstzahl von 16 Zeichen auch auf anderen Websites gesehen. Wenn das Passwort gehasht gespeichert ist, sollte es in der Datenbank dieselbe Größe haben, unabhängig davon, wie das tatsächliche Passwort lautet. Warum also einschränken? Ich hoffe, es liegt nicht daran, dass sie die Passwörter ungeschützt speichern und 16 Zeichen die Größe des Datenbankfelds haben. Ich hoffe wirklich nicht.
Rincewind42
Das Erzwingen eines 16-Zeichen-Passes ist einfacher als das Erzwingen eines größeren. (Sie wissen, es gibt russische Zahlstellen, diejenigen, die auf Brute-Force-Hashes spezialisiert sind)
LanceBaynes
Dies ist interessant: IBM SQL- und XML-Datenbeschränkungen Die Zeile "Kennwortzugriff auf eine Datenquelle" hat eine maximale Länge von 32 Byte. Dies entspricht der Größe eines 16-stelligen Kennworts, nachdem ein MD5-Hash angewendet wurde.
Rebecca Dessonville
Rincewind42 und Dez bringen wirklich interessante Punkte auf den Punkt; Keine dieser Möglichkeiten ist sicher.
Patrick Klingemann
2
@Dez: Das Anwenden eines MD5 auf ein Kennwort mit 17 Zeichen umfasst weiterhin 32 Byte. Ein interessanterer Punkt könnte sein, dass 16 Zeichen in Unicode 32 Byte groß sind.
musefan

Antworten:

1

Eigentlich, weil, wenn Sie ein Passwort md5, es einen Hash berechnet. Dann ist die Zeichenfolge länger als 16 Zeichen. Einige "Hashes" können zwischen ihnen kollidieren.

Zum Beispiel, wenn md5("noroof")gibt 9ce405c98406f2f6d5326ee6b51d19cd, ist es möglich, md5("ididntfixedmyroofwhenicould")dass das gleiche Hash geben könnte 9ce405c98406f2f6d5326ee6b51d19cd. Denken Sie daran, dass Hashes aus 32 Zeichen "0123456789abcdf" bestehen (in diesem Fall für md5).

Möglicherweise erzwingen sie 16 Zeichen, da der Algorithmus, der den Hash berechnet, sicherstellt, dass in der Datenbank keine Kollision mit einem zuvor gespeicherten Kennwort auftritt.

Sein Sauerstoff
quelle
6
Ein Hash kann immer zu einer Kollision führen - wie Sie sagen, ist es möglich, dass ein Kennwort mit mehr als 17 Zeichen mit einem kürzeren Kennwort kollidiert. Es ist jedoch ebenso unwahrscheinlich, dass ein kurzes Kennwort kollidiert, und es ist unwahrscheinlich, dass ein langes Kennwort mit einem von Brute Force erratbaren kurzen Kennwort kollidiert. Es gibt keinen Grund zu der Annahme, dass lange Passwörter häufiger kollidieren als kurze Passwörter. Wenn es einen Grund zu der Annahme gäbe, dass der Hash sowieso tatsächlich kaputt ist.
Ronald
2
Ronald hat recht, die akzeptierte Antwort ist einfach falsch. Die Wahrscheinlichkeit, dass MD5-Zeichenfolgen kollidieren, hängt nicht von ihrer Länge ab.
Talkol