Чому live.com обмежує паролі 16 символами? [зачинено]

Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію .

Закрито 2 роки тому .

Я хотів зареєструвати адресу електронної пошти @ live.com, але в ній написано, що він не може зареєструвати адресу електронної пошти з паролем, що містить більше 16 символів.

Чому? Щоб було легше отримати справжній пароль? (якщо хеши паролів були вкрадені.)

microsoft

— LanceBaynes
джерело

Я бачив цю максимальну межу в 16 знаків і на інших сайтах. Якщо пароль зберігається хеш, то він повинен бути однакового розміру в базі даних, незалежно від реального пароля, так навіщо обмежувати? Я сподіваюсь, що це не тому, що вони зберігають паролі неушкоджені і 16 символів - це розмір поля бази даних. Я дуже сподіваюся, що ні.

— Rincewind42

Брутовий примус до проходу 16 знаків простіше у порівнянні з більш жорстоким форсуванням. (ви знаєте, там є сайти з оплатою для російських, ті, хто спеціалізується на

— жорстоких хешах

Це цікаво: Обмеження даних IBM SQL & XML Рядок "Доступ до пароля до джерела даних" має максимальну довжину 32 байти, що має той самий розмір, що і пароль із 16 символів після застосування хеша MD5.

— Ребекка Дессонвіль

Rincewind42 і Dez виявили справді цікаві точки; жодна з цих можливостей не є безпечною.

— Патрік Клингеман

@Dez: Застосування MD5 до пароля 17 char все одно буде 32 байти. Більш цікавим моментом може бути те, що 16 символів у Unicode будуть 32 байти.

— musefan

Власне тому, що коли ви md5 пароль, він обчислює хеш. Тоді рядок довше 16 символів, деякі "хеші" можуть стикатися між ними.

Наприклад, якщо md5("noroof")дається 9ce405c98406f2f6d5326ee6b51d19cdможливість, md5("ididntfixedmyroofwhenicould")можна було б дати той самий хеш 9ce405c98406f2f6d5326ee6b51d19cd. Пам'ятайте, що хеші складаються з 32 символів "0123456789abcdf" (для md5 в цьому випадку).

Можливо, вони примушують 16 символів, тому що алгоритм, який обчислює хеш, запевняє, що не буде зіткнення в базі даних із раніше збереженим паролем.

— Кисневий кисень
джерело

Хеш завжди може створити зіткнення - як ви кажете, можливо, що пароль символів 17+ зіткнеться з більш коротким паролем. Але настільки ж малоймовірне зіткнення, як короткий пароль навряд чи зіткнеться, а довгий пароль навряд чи зіткнеться з коротким паролем, який можна ввести в грубу силу. Немає підстав вважати, що довгі паролі частіше стикаються, ніж короткі паролі - якби були певні підстави вважати, що хеш був би ефективним чином зламаним.

— Рональд

Рональд правильний, прийнята відповідь - явно неправильна. Ймовірність зіткнення струн MD5 не залежить від їх довжини.

— talkol