Pourquoi live.com limite-t-il les mots de passe à 16 caractères? [fermé]

Fermé . Cette question est basée sur l'opinion . Il n'accepte pas actuellement les réponses.

Voulez-vous améliorer cette question? Mettez à jour la question afin d'y répondre avec des faits et des citations en modifiant ce message .

Fermé il y a 2 ans .

Je voulais enregistrer une adresse e-mail @ live.com, mais elle indique qu'elle ne peut pas enregistrer une adresse e-mail avec un mot de passe contenant plus de 16 caractères.

Pourquoi? Pour qu'il soit plus facile d'obtenir le vrai mot de passe? (si le hachage du mot de passe a été volé...)

microsoft

— LanceBaynes
source

J'ai également vu cette limite maximale de 16 caractères sur d'autres sites. Si le mot de passe est stocké haché, il doit avoir la même taille dans la base de données, quel que soit le vrai mot de passe, alors pourquoi limiter? J'espère que ce n'est pas parce qu'ils stockent les mots de passe sans hachage et 16 caractères est la taille du champ de la base de données. J'espère vraiment que non.

— Rincewind42

Bruteforceer une passe de 16 caractères est plus facile que de forcer une grosse plus grosse. (vous savez, il existe des sites payants russes, ceux qui se spécialisent dans les hachages par force brute)

— LanceBaynes

Ceci est intéressant: IBM SQL & XML Data Limits La ligne "Accès par mot de passe à une source de données" a une longueur maximale de 32 octets qui est de la même taille qu'un mot de passe à 16 caractères après l'application d'un hachage MD5.

— Rebecca Dessonville

Rinceventind42 et Dez soulèvent des points vraiment intéressants; aucune de ces possibilités n'est sûre.

— Patrick Klingemann

@Dez: L'application d'un MD5 à un mot de passe de 17 caractères sera toujours de 32 octets. Un point plus intéressant pourrait être que 16 caractères en Unicode seraient 32 octets.

— musefan

En fait, lorsque vous md5 un mot de passe, il calcule un hachage. Ensuite, la chaîne est plus longue que 16 caractères certains "hachages" peuvent entrer en collision entre eux.

Par exemple, si md5("noroof")donne, 9ce405c98406f2f6d5326ee6b51d19cdil est possible que md5("ididntfixedmyroofwhenicould")cela donne le même hachage 9ce405c98406f2f6d5326ee6b51d19cd. N'oubliez pas que les hachages sont composés de 32 caractères de "0123456789abcdf" (pour md5 dans ce cas).

Peut-être qu'ils forcent 16 caractères car l'algorithme qui calcule le hachage garantit qu'il n'y aura pas de collision dans la base de données avec un mot de passe précédemment enregistré.

— Sein Oxygen
source

Un hachage peut toujours créer une collision - comme vous le dites, il est possible qu'un mot de passe de 17 caractères ou plus entre en collision avec un mot de passe plus court. Mais, il est tout aussi improbable de se heurter qu'un mot de passe court est peu susceptible de se heurter, et un mot de passe long a peu de chances de se heurter à un mot de passe court devinable par force brute. Il n'y a aucune raison de croire que les mots de passe longs sont plus susceptibles de se heurter que les mots de passe courts - s'il y avait une raison de le croire, le hachage serait effectivement rompu de toute façon.

— Ronald

Ronald a raison, la réponse acceptée est tout à fait fausse. La probabilité de collision des chaînes MD5 ne dépend pas de leur longueur.

— talkol