ログインに余分な文字が追加されたパスワードを受け入れる

Question

これは実際に問題があるかどうかわかりません。私はIT管理者に言いましたが、私は返事を得ておらず、何もしませんでした。

私の大学では、誰もがログオンアカウントを持っています。私はそれの後にランダムな文字列を追加するとパスワードを受け入れることに気がつきました。

私のパスワードが

password 

たのであればそれはそうで

password123 
passwordhvgFghvjej36277 

を受け入れて。

passwor 
133password 

パスワードが正しい場合にのみ動作し、フレーズを開始します。

これは大きな問題ですか？ パスワードをハッシュしている場合は、余分な文字を追加するとハッシュが変更されますか？

Answer 1

これは、特定の最大長の後にパスワードを切断した場合に発生します。本当に良い練習ではありませんが、残念なことに珍しいことではありません。

ハッシュを取得すると（ハッシュを行うことができれば）、入力した内容の固定長プレフィックスに過ぎません。

もちろん、固定長のトランケートされた平文のパスワードを格納するだけであることもあります。それはひどいだろう。