¿Por qué live.com limita las contraseñas a 16 caracteres? [cerrado]

Cerrada . Esta pregunta está basada en la opinión . Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta? Actualice la pregunta para que pueda ser respondida con hechos y citas editando esta publicación .

Cerrado hace 2 años .

Quería registrar una dirección de correo electrónico @ live.com, pero dice que no puede registrar una dirección de correo electrónico que tenga una contraseña que contenga más de 16 caracteres.

¿Por qué? ¿Para que sea más fácil obtener la contraseña real? (si se robaron los hashes de la contraseña...)

microsoft

— LanceBaynes
fuente

También he visto este límite máximo de 16 caracteres en otros sitios. Si la contraseña se almacena en hash, debe ser del mismo tamaño en la base de datos, sin importar cuál sea la contraseña real, entonces, ¿por qué limitar? Espero que no sea porque están almacenando las contraseñas sin compartir y 16 caracteres es el tamaño del campo de la base de datos. Realmente espero que no.

— Rincewind42

La fuerza bruta de un pase de 16 caracteres es más fácil en comparación con la fuerza bruta de uno más grande. (ya sabes, hay sitios de pago rusos, aquellos que se especializan en hash de fuerza bruta)

— LanceBaynes

Esto es interesante: Límites de datos de SQL y XML de IBM La fila "Acceso de contraseña a un origen de datos" tiene una longitud máxima de 32 bytes, que es del mismo tamaño que una contraseña de 16 caracteres después de aplicar un hash MD5.

— Rebecca Dessonville

Rincewind42 y Dez traen puntos realmente interesantes; Ninguna de esas posibilidades es segura.

— Patrick Klingemann

@Dez: la aplicación de un MD5 a una contraseña de 17 caracteres seguirá siendo de 32 bytes. Un punto más interesante podría ser que 16 caracteres en Unicode serían 32 bytes.

— musefan

En realidad, porque cuando md5 una contraseña calcula un hash. Entonces la cadena tiene más de 16 caracteres y algunos "hashes" pueden colisionar entre ellos.

Por ejemplo, si md5("noroof")da 9ce405c98406f2f6d5326ee6b51d19cdes posible que md5("ididntfixedmyroofwhenicould")pueda dar el mismo hash 9ce405c98406f2f6d5326ee6b51d19cd. Recuerde que los hashes están compuestos por 32 caracteres de "0123456789abcdf" (para md5 en este caso).

Tal vez fuerzan 16 caracteres porque el algoritmo que calcula el hash asegura que no habrá una colisión en la base de datos con una contraseña previamente guardada.

— Sein Oxygen
fuente

Un hash siempre puede crear una colisión; como usted dice, es posible que una contraseña de más de 17 caracteres colisione con una contraseña más corta. Pero, es tan improbable que choque como una contraseña corta es improbable, y una contraseña larga es extremadamente improbable que choque con una contraseña corta que se pueda adivinar con fuerza bruta. No hay razón para creer que las contraseñas largas tienen más probabilidades de colisionar que las contraseñas cortas: si hubiera alguna razón para creer eso, el hash se rompería efectivamente de todos modos.

— Ronald

Ronald tiene razón, la respuesta aceptada es totalmente errónea. La probabilidad de que las cadenas MD5 colisionen no depende de su longitud.

— talkol