Por que o live.com limita senhas a 16 caracteres? [fechadas]

12

Eu queria registrar um endereço de email @ live.com, mas ele diz que não pode registrar um endereço de email com uma senha que contenha mais de 16 caracteres.

Por quê? Para que seria mais fácil obter a senha real? (se os hashes da senha foram roubados...)

microsoft LanceBaynes
fonte
1
Também já vi esse limite máximo de 16 caracteres em outros sites. Se a senha for armazenada com hash, ela deverá ter o mesmo tamanho no banco de dados, independentemente da senha real, por que limitar? Espero que não seja porque eles estão armazenando as senhas unidashed e 16 caracteres é o tamanho do campo do banco de dados. Eu realmente espero que não.
Rincewind42
Forçar brutamontes com um passe de 16 caracteres é mais fácil em comparação com forçar brutamontes. (você sabe, há locais que pagam russo, aqueles que se especializam para hashes de força bruta)
LanceBaynes
Isso é interessante: Limites de dados IBM SQL e XML A linha "Acesso por senha a uma fonte de dados" tem um comprimento máximo de 32 bytes, o mesmo tamanho de uma senha de 16 caracteres após a aplicação de um hash MD5.
Rebecca Dessonville
Rincewind42 e Dez trazem pontos realmente interessantes; nenhuma dessas possibilidades é segura.
Patrick Klingemann 21/03/12
2
@ Dez: a aplicação de um MD5 a uma senha de 17 caracteres ainda será de 32 bytes. Um ponto mais interessante pode ser que 16 caracteres em Unicode tenham 32 bytes.
23312 musefan

Respostas:

1

Na verdade, quando você md5 uma senha calcula um hash. Em seguida, a cadeia tem mais de 16 caracteres e alguns "hashes" podem colidir entre eles.

Por exemplo, se md5("noroof")der 9ce405c98406f2f6d5326ee6b51d19cd, é possível que md5("ididntfixedmyroofwhenicould")possa dar o mesmo hash 9ce405c98406f2f6d5326ee6b51d19cd. Lembre-se de que os hashes são compostos por 32 caracteres de "0123456789abcdf" (neste caso, para md5).

Talvez eles forcem 16 caracteres porque o algoritmo que calcula o hash garante que não haverá colisão no banco de dados com uma senha salva anteriormente.

Sein Oxygen
fonte
6
Um hash sempre pode criar uma colisão - como você diz, é possível que uma senha de mais de 17 caracteres colide com uma senha mais curta. Porém, é tão improvável que colide quanto uma senha curta não é provável, e uma senha longa é muito improvável que colide com uma senha curta de força bruta que pode ser adivinhada. Não há razão para acreditar que senhas longas têm maior probabilidade de colidir do que senhas curtas - se houvesse alguma razão para acreditar nisso, o hash seria efetivamente quebrado de qualquer maneira.
Ronald
2
Ronald está correto, a resposta aceita está claramente errada. A probabilidade de as cordas MD5 colidirem não depende do seu comprimento.
Talk4