Warum gibt es eine maximale Passwortlänge

So, ich durfte mich gerade schon wieder über einen Loginservice aufregen, bei dem verlangt wird, dass das Passwort "zwischen 8 und 12 Zeichen" hat. Eine minimale Passwortlänge mag ich ja noch einsehen, aber warum eine maximale? Ein seriöses Login-Formular sollte doch die Passwörter sowieso hashen und nicht im Klartext speichern, wo ist also das Problem, längere Passwörter zu akzeptieren?

Vielleicht wisst ihr Bescheid?

Answer 1

[Achim92]

aber warum eine maximale?

Kann ich eigentlich auch nicht nachvollziehen. Ist auch die Frage ob die die Passwörter auch wirklich hashen oder irgendwelchen Mist damit machen. Ich kann mir noch vorstellen, dass man lange Passwörter öfter vergisst und man bei 12 Zeichen gezwungen ist sein 0815 Passwort zu benutzen. Aber da der Support eh nicht viel mit vergessenen Passwörtern zu tun hat fällt das eigentlich auch flach.

Comments

[Rocreex]

Naja, mein "0815-Passwort" hat mehr als 12 Zeichen, deswegen bin ich so genervt ;)

[Achim92]

@Rocreex

Das es irgendein Maximum geben muss ist klar. Aber 12 Zeichen sind mehr als arschlos und nerven echt nur den Kunden xD Um welche Seite handelt es sich da? Wer sowas verzapft sollte eigentlich noch mehr Mist gemacht haben,

[Rocreex]

@Achim92

Gibt einige Seiten, bei denen das so ist. Leider auch viele "offizielle", also Handyanbieter, Landesämter, etc

Answer 2

[BlueBird010]

Also zunächst mal, solltest Du dir im klaren sein, dass es nicht nur "die" Hash-Methode gibt, sondern unterschiedliche. Man kann heutzutage nur hoffen, dass md5 und sha1 nicht mehr von größeren Anbietern verwendet werden. Diese erzielen jedoch die gleiche Länge eines Strings.

Mit Methoden wie bcrypt hat der Hash nicht immer die gleiche Länge. Langes Passwort = Langer Hash = Mehr Rechenaufwand (je nach Konfiguration). Und spätestens wenn eine Beschränkung der Datenbank greift (etwa bei der VARCHAR Maximallänge von 255 Zeichen, sollte dieser Feld-Typ verwendet werden), ließe sich das Passwort nicht mehr korrekt evaluieren.

Comments

[Rocreex]

Ich denke nicht, dass bcrypt für Passworthashes verwendet wird. Alle "guten" Kandidaten für Passworthashalgorithmen haben eine feste Outputlänge.

[BlueBird010]

@Rocreex

Na, dann bin ich mal gespannt, was Du unter "guten" Kandidaten verstehst.

Das Problem an den Methoden mit fester (und kurzer) Länge, wie etwa bei md5 & Co. ist nämlich, dass diese sich häufig problemlos durch einen Datenbank-Abgleich auflösen lassen.

Answer 3

[hhhuut]

Naja, je nach Datenverarbeitung kann die Webseite (genauer: Die Datenbank dahinter) Strings von bestimmter Länge nicht mehr verarbeiten. Wenn du also den Hash eines Passwortes bildest (der bekanntlich ja länger als das Passwort selbst ist) so kann die Datenbank diesen String irgendwann nicht mehr auswerten => also gibt es maximale Passwortlängen

Comments

[Rocreex]

Hashes eines bestimmten Typs sind für jeden String gleich lang. Unter anderem heißt das, dass der Hash eines Passworts nicht zwingend länger als das Passwort selbst ist.

[hhhuut]

@Rocreex

Ja stimmt, das habe ich ungenau ausgedrückt :)

Wenn du ein PW mit 1000 Zeichen hast, kann der Hash auch "nur" 500 Zeichen lang sein, für manche Datenbanken ist das trotzdem ein Problem

Deshalb gilt ja auch die Frage von Drainage: Warum nur 12 Zeichen?

Answer 4

[Bratgeraet]

Um Speicherplatz Auf dem Server zu sparen.

Comments

[Rocreex]

Das macht keinen Sinn, wenn die Passwörter gehasht werden (, was sie sollten!)

Answer 5

[Drainage]

Naja dass es ein Maximum geben muss, ist ja klar, da man nicht unendlich viel Speicher (nur für DEIN Passwort) auf dem Server hat.

Die Frage muss also lauten: Wieso eine maximale Passwortlänge von gerade mal 12 Zeichen?

Comments

[Rocreex]

Außerdem macht das keinen Unterschied wenn die Passwörter gehasht werden.

[Drainage]

@Rocreex

Was macht keinen Unterschied?

[Rocreex]

@Drainage

Gehashte Passwörter sind immer gleich lang. Also macht die Speicherung so oder so keine Probleme. Klar, für die Übertragung muss es natürlich ein Maximum geben, aber das kann ja unwahrscheinlich groß sein, ohne dass es Probleme macht.

[Drainage]

@Rocreex

Ja klar, aber es ging ja um den theoretischen Fall für ∞.

[hhhuut]

Naja, bei einem PW von 1000 Zeichen hätte man gerade mal eine Speichergröße von 1-4 kB (je nach Codierung)

[Drainage]

@hhhuut

1000 ≠ ∞

[hhhuut]

@Drainage

Wer hat denn ein unendlich langees PW? lol :)

Ich würde wetten dass du schon Probleme bei 1000 Stellen hast ;)

[Drainage]

@hhhuut

Das ist klar, aber bei der Frage, wieso es überhaupt ein Maximum gibt, muss man halt diesen theoretischen Fall bedenken. Das wollte ich damit sagen. Es muss nicht immer alles praktischen Sinn ergeben.

[hhhuut]

@Drainage

Passt schon, war ja keine Kritik :)