Mengapa live.com membatasi kata sandi hingga 16 karakter? [Tutup]

Ditutup . Pertanyaan ini didasarkan pada pendapat . Saat ini tidak menerima jawaban.

Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga dapat dijawab dengan fakta dan kutipan dengan mengedit posting ini .

Ditutup 2 tahun yang lalu .

Saya ingin mendaftarkan alamat email @ live.com, tetapi dikatakan tidak bisa mendaftarkan alamat email yang memiliki kata sandi yang berisi lebih dari 16 karakter.

Mengapa? Sehingga akan lebih mudah untuk mendapatkan kata sandi asli? (jika hash kata sandi dicuri ...)

microsoft LanceBaynes
sumber

Saya telah melihat batas maksimal 16 karakter ini di situs lain juga. Jika kata sandi disimpan hash maka ukurannya harus sama di basis data tidak peduli apa kata sandi sebenarnya, jadi mengapa membatasi? Saya harap itu bukan karena mereka menyimpan kata sandi yang tidak rusak dan 16 karakter adalah ukuran bidang basis data. Saya benar-benar berharap tidak.

Rincewind42

Bruteforceing 16 char pass lebih mudah dibandingkan dengan brute-force yang lebih besar. (Anda tahu, ada situs berbayar Rusia, mereka yang berspesialisasi pada

hashing

Ini menarik: IBM SQL & XML Data Limits Baris "Kata sandi akses ke sumber data" adalah panjang maksimum 32 byte yang ukurannya sama dengan kata sandi 16 karakter setelah hash MD5 diterapkan.

Rebecca Dessonville

Rincewind42 dan Dez memunculkan poin yang sangat menarik; tak satu pun dari kemungkinan itu aman.

Patrick Klingemann

@Dez: Menerapkan MD5 ke 17 kata sandi char akan tetap 32 byte. Poin yang lebih menarik adalah bahwa 16 karakter di Unicode akan menjadi 32 byte.

musefan

Jawaban:

Sebenarnya karena ketika Anda md5 kata sandi menghitung hash. Kemudian string lebih panjang dari 16 karakter yang beberapa "hashes" dapat bertabrakan di antara mereka.

Sebagai contoh jika md5("noroof")memberi 9ce405c98406f2f6d5326ee6b51d19cditu mungkin yang md5("ididntfixedmyroofwhenicould")bisa memberikan hash yang sama 9ce405c98406f2f6d5326ee6b51d19cd. Ingat bahwa hash disusun oleh dengan 32 karakter "0123456789abcdf" (untuk md5 dalam kasus ini).

Mungkin mereka memaksa 16 karakter karena algoritma yang menghitung hash memastikan bahwa tidak akan ada tabrakan dalam database dengan kata sandi yang disimpan sebelumnya.

Oksigen Sein
sumber

Hash selalu dapat membuat tabrakan - seperti yang Anda katakan, mungkin saja kata sandi 17+ akan bertabrakan dengan kata sandi yang lebih pendek. Tapi, itu sama tidak mungkin bertabrakan dengan kata sandi pendek tidak mungkin bertabrakan, dan kata sandi yang panjang semakin tidak mungkin bertabrakan dengan kata sandi pendek kasar yang dapat ditebak. Tidak ada alasan untuk percaya bahwa kata sandi panjang lebih cenderung bertabrakan daripada kata sandi pendek - jika ada alasan untuk percaya bahwa, hash akan secara efektif dipatahkan.

Ronald

Ronald benar, jawaban yang diterima jelas salah. Kemungkinan string MD5 bertabrakan tidak tergantung pada panjangnya.

talkol