Molto tempo fa, quando Microsoft ha cambiato la mia e-mail da Hotmail a Outlook, l'interfaccia della password diceva che dovevo inserire solo i primi 16 caratteri della mia password. Ma la mia password era più lunga prima. Quindi come hanno potuto scoprire i primi 16 caratteri della mia password? La password è stata troncata sempre a 16 caratteri, quindi è stata sottoposta a hash e salvata o qualcuno ha un'altra possibile spiegazione per questo?
Vedi l'immagine qui sotto.
Beh, probabilmente non saremo mai completamente sicuri visto che non abbiamo il codice. Ma possiamo discutere alcune possibilità. Ma prima,
In ogni caso, quale potrebbe essere una ragione per questo cambiamento? Una possibilità è che le agenzie di intelligence avessero qualcosa a che fare con questo, come si presume sia accaduto con una versione precedente di A5 / 1 , Comp128v2, dove i primi dieci bit di una chiave "casuale" erano sempre impostati su 0. In questo modo possono, se ottengono l'hash dalla MS, solo la forza bruta più veloce.
Nel caso non ti piacciano le teorie complot, un'altra opzione è ovviamente che MS non vuole che tu dimentichi la tua password.
Ma diamo un'occhiata alle possibilità.
È possibile che MS abbia memorizzato le password in chiaro, ma sarebbe un grosso errore e suppongo (e spero davvero) che questo non sia il caso.
Normalmente le password vengono sottoposte a hash e salate in modo irreversibile, in modo che persino MS non possa conoscere la tua password dal valore nel database. Quindi come hanno fatto questo?
Quale sarebbe una possibilità è che abbiano già pianificato più tempo per avere una lunghezza massima della password. Quindi, potrebbero attendere l'accesso e, parallelamente, verificare se si sta effettivamente digitando la password corretta ed effettuare l'accesso, tagliando il proprio input e salting e hashing e memorizzandolo altrove. Al momento in cui sono passati al nuovo sistema, hanno appena copiato i nuovi hash.
Come indicato da Ajedi32 nei commenti, è anche possibile che le password siano sempre troncate dopo 16 caratteri. (La ragione di questo, ancora una volta, potrebbe essere l'interferenza dell'intelligenza.) L'unica differenza è che ora MS non ti permette di entrare di più, perché sono diventati troppo pigri per troncarlo da soli.
Questo non mi sembra probabile, perché se questo fosse vero, allora perché dovrebbero dire agli utenti di non inserire più di 16 caratteri? Sì, potrebbe essere che cose come questa (cioè i testi UI sono cambiati senza un effettivo cambio di funzione) accadono semplicemente in una grande organizzazione. Tuttavia, come spiega Ajedi32:
Maybe they finally realized that not telling users about such an important security limitation was a bad idea, and decided to start explicitly enforcing the 16-character limit? Or perhaps they're preparing to lift the limitation in the future, and they need to start preparing users for that now? (Because lifting the limitation would mean that "1234567890123456" would no longer be the same password as "1234567890123456789")
Come risulta, Ajedi32 aveva ragione e le password erano sempre troncate, come indicato in questo articolo MS (i crediti vanno a PwdRsch, vedi i commenti). Le altre possibilità rimangono qui per ragioni di teoria.
Forse stanno utilizzando un HSM per l'archiviazione delle password. Le password sono (forse) crittografate e archiviate in un'unità specifica nella server farm in modo che possano effettivamente decrittografarle e "leggere" il testo in chiaro. La differenza è che con hash + salt non è possibile decodificare una password (le funzioni di hashing sono funzioni unidirezionali). Con un algoritmo di crittografia è possibile decrittografare il testo cifrato e leggere il testo in chiaro.