live.comがパスワードを16文字に制限するのはなぜですか？[閉まっている]

閉じた。この質問は意見に基づいています。現在、回答を受け付けていません。

この質問を改善したいですか？この投稿を編集して事実と引用で答えられるように質問を更新してください。

閉じた2年前。

@ live.comの電子メールアドレスを登録したかったのですが、16文字を超えるパスワードを含む電子メールアドレスは登録できないと書かれています。

どうして？実際のパスワードを取得する方が簡単になるように？（パスワードハッシュが盗まれた場合...）

microsoft

他のサイトでもこの最大16文字という制限を見てきました。パスワードがハッシュされて保存されている場合、実際のパスワードが何であっても、データベース内で同じサイズにする必要があります。なぜ制限するのですか？パスワードがハッシュされずに保存されており、データベースフィールドのサイズが16文字であるためではないことを願っています。私は本当にないことを願っています。

— Rincewind42

16文字のパスをブルートフォースするのは、大きなパスをブルートフォースするのに比べて簡単です。（ご存じのように、ロシアの有料サイト、ブルートフォースハッシュに特化したサイト）

— ランスベインズ

これは興味深いです。IBMSQLおよびXMLデータの制限「データソースへのパスワードアクセス」行は、MD5ハッシュが適用された後の16文字のパスワードと同じサイズである最大32バイトの長さです。

— レベッカデッソンビル

Rincewind42とDezは、本当に興味深い点をもたらします。これらの可能性はいずれも安全ではありません。

— パトリッククリンゲマン

@Dez：MD5を17文字のパスワードに適用しても、32バイトのままです。さらに興味深い点は、Unicodeの16文字が32バイトになることです。

— musefan

実際、パスワードをmd5するとハッシュが計算されるためです。その場合、文字列は16文字より長くなり、いくつかの「ハッシュ」がそれらの間で衝突する可能性があります。

たとえば、md5("noroof")与える場合、同じハッシュを与える9ce405c98406f2f6d5326ee6b51d19cd可能性があります。ハッシュは32文字の「0123456789abcdf」で構成されていることに注意してください（この場合のmd5の場合）。md5("ididntfixedmyroofwhenicould")9ce405c98406f2f6d5326ee6b51d19cd

ハッシュを計算するアルゴリズムは、以前に保存されたパスワードとデータベース内で衝突しないことを保証するため、おそらく16文字を強制します。

— セイン酸素
ソース

ハッシュは常に衝突を引き起こす可能性があります-あなたが言うように、17文字以上のパスワードが短いパスワードと衝突する可能性があります。しかし、短いパスワードが衝突する可能性は低いのと同じくらい衝突する可能性は低く、長いパスワードはブルートフォース推測可能な短いパスワードと衝突する可能性はほとんどありません。長いパスワードは短いパスワードよりも衝突する可能性が高いと信じる理由はありません-信じる何らかの理由があれば、とにかくハッシュは事実上破られるでしょう。

— ロナルド

ロナルドは正しいです、受け入れられた答えは明白に間違っています。MD5ストリングが衝突する可能性は、その長さに依存しません。

— talkol