Чому live.com обмежує паролі 16 символами? [зачинено]


12

Я хотів зареєструвати адресу електронної пошти @ live.com, але в ній написано, що він не може зареєструвати адресу електронної пошти з паролем, що містить більше 16 символів.

Чому? Щоб було легше отримати справжній пароль? (якщо хеши паролів були вкрадені.)


1
Я бачив цю максимальну межу в 16 знаків і на інших сайтах. Якщо пароль зберігається хеш, то він повинен бути однакового розміру в базі даних, незалежно від реального пароля, так навіщо обмежувати? Я сподіваюсь, що це не тому, що вони зберігають паролі неушкоджені і 16 символів - це розмір поля бази даних. Я дуже сподіваюся, що ні.
Rincewind42

Брутовий примус до проходу 16 знаків простіше у порівнянні з більш жорстоким форсуванням. (ви знаєте, там є сайти з оплатою для російських, ті, хто спеціалізується на
жорстоких хешах

Це цікаво: Обмеження даних IBM SQL & XML Рядок "Доступ до пароля до джерела даних" має максимальну довжину 32 байти, що має той самий розмір, що і пароль із 16 символів після застосування хеша MD5.
Ребекка Дессонвіль

Rincewind42 і Dez виявили справді цікаві точки; жодна з цих можливостей не є безпечною.
Патрік Клингеман

2
@Dez: Застосування MD5 до пароля 17 char все одно буде 32 байти. Більш цікавим моментом може бути те, що 16 символів у Unicode будуть 32 байти.
musefan

Відповіді:


1

Власне тому, що коли ви md5 пароль, він обчислює хеш. Тоді рядок довше 16 символів, деякі "хеші" можуть стикатися між ними.

Наприклад, якщо md5("noroof")дається 9ce405c98406f2f6d5326ee6b51d19cdможливість, md5("ididntfixedmyroofwhenicould")можна було б дати той самий хеш 9ce405c98406f2f6d5326ee6b51d19cd. Пам'ятайте, що хеші складаються з 32 символів "0123456789abcdf" (для md5 в цьому випадку).

Можливо, вони примушують 16 символів, тому що алгоритм, який обчислює хеш, запевняє, що не буде зіткнення в базі даних із раніше збереженим паролем.


6
Хеш завжди може створити зіткнення - як ви кажете, можливо, що пароль символів 17+ зіткнеться з більш коротким паролем. Але настільки ж малоймовірне зіткнення, як короткий пароль навряд чи зіткнеться, а довгий пароль навряд чи зіткнеться з коротким паролем, який можна ввести в грубу силу. Немає підстав вважати, що довгі паролі частіше стикаються, ніж короткі паролі - якби були певні підстави вважати, що хеш був би ефективним чином зламаним.
Рональд

2
Рональд правильний, прийнята відповідь - явно неправильна. Ймовірність зіткнення струн MD5 не залежить від їх довжини.
talkol
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.