Microsoft хранит пароли в открытом виде?

Question

[caxep]

Для активации Office 365 нужно было войти со своим аккаунтом в систему. Он у меня уже был зарегистрирован, пароль для него хранился в KeePass, из которого я благополучно его скопировал, но после первой попытки войти получил следующее сообщение:

Пароль для учетной записи Майкрософт может содержать до 16 символов. Если вы раньше использовали более длинный пароль, введите его первые 16 знаков.

После сокращения текущего пароля до нужного количества символов я успешно вошел в свою учетную запись. Разве такое можно осуществить не храня данные в открытом виде?

Answer 1

[garbager]

Да, можно!
Взять хеш от первых 16 символов, потом от остатка в винде очень похоже делается

Comments

[Алексей Гусейнов]

Т.е. надо с самого начала предусмотреть, что потом длина пароля будет ограничена, и с самого начала взять хеш от 16 первых символов отдельно?

[ixSci]

Длина пароля в аккаунтах MS всегда была ограничена. Раньше было 10 символов, насколько я помню. Сейчас, видимо, сделали 16. Никакой магии, вопрос только в том — как удалось зарегистрироваться с паролем, чья длина превышает максимально допустимую.

[ixSci]

Видимо на каком-то этапе пароль молчаливо обрезается и не говорит, что его длина превышена.

[Назар Мокринский]

В Яндексе аналогично было как-то (сейчас не знаю) — сменить пароль на длинный можно, но войти нельзя, слишком длинный.

[microphone]

А если изменить пароль и попробывать сделать тоже самое, в плане взятия первых символов?

Answer 2

[caxep]

Взять хеш от первых 16 символов

Что, простите?

Comments

[ixSci]

А что непонятного. Берёшь первые 16 символов и остальные игнорируешь.

[caxep]

Для этого у них уже должен быть хеш 16 знаков моего пароля. Неужели они обрезали его еще при регистрации (июнь 2009) и с тех пор ни разу мне не сказали об этом и пускали с паролем из 20 знаков, молча отрезая остальное? Это сюр.

[ixSci]

И тем не менее это так.

Answer 3

[alexmsk]

А зачем такое вообще может понадобиться технически?

Comments

[RMV1983]

Возможно, что есть какие-нибудь ограничения, типа запрета на экспорт/импорт технологий шифрования с определённой длинной ключа или что-то подобное. А может — это внутренняя заморочка у них такая: вроде бы раньше они пароль пользователя в винде тоже как-то странно хранили.

Answer 4

[microphone]

популярный сервис icq сханит первые 8 символов пороля, покрайней мере раньше так было(я с год уже в аську не ходил из за рекламы назойливой), ввиду того что посищает его миллионная аудитория и базы данных не резиновые и как то их рост уметь спрогнозирывать и содержать их в пригодном состоянии. Вот, предположим, отрезают на анкетные данные тебе мегабайт допустим с паролями именами (8 символов на пароль, еще 20 на ник,… ) и т.п. и сразу можно посчитать сколько пользователей смогут зарегиться в ближайшее время сколько средств надо на организацию бэкапов, и все в таком духе.

Comments

[Назар Мокринский]

Если хранить хеши — то объем спрогнозировать тоже можно, и нет разницы, какова длина пароля.

[microphone]

если результат вычисления хеша будет всегда определенной длинны, то да

[Степан]

 Да, с аськой был такой прикол. Они просто обрезали все что более 8ми символов

[garbager]

Прикол с аськой был в том, что любой пароль >8 из стороннего клиента подходил к любому аккаунту

[microphone]

Может это быстро тогда пофиксили, у меня по тем временам миранда была, она не возражала даже если евгения онегина в пароль вогнать, но пускала только по правильному началу.

Answer 5

[marcus]

Я чего-то, наверно, не понимаю, но разве нельзя тупо передать длину введенного пароля?

Comments

[Vampiro]

не понимаете. До этого он заходил с паролем, скажем, 1234567890, в сегодня УСПЕШНО залогинился с 12345678. Это значит, что МС где-то хранило f(первые_8_символов). Как-то так в двух словах.

Answer 6

[rainwall]

Наверняка хранит. Может не в открытом, а в зашифрованном виде, но хранит. Ничего в этом страшного нет. Она и реквизиты кредиток хранит. Нельзя же хранить хеш от кредитки. По сравнению с кредитками хранение паролей — пустяки.

Answer 7

[Николай Турнавиотов]

Хм. пользуюсь Live ID аккаунтом — 25 символов, сменил пару лет назад.
на телефонный LiveID действительно, пришлось 16значный ставить, с большей длиной не пускало.