Recientemente me encontré con esto al iniciar sesión en MSDN. (Vi esta pantalla después de escribir mis credenciales iniciales).
Tengo una contraseña de más de 20 dígitos, sin embargo, aparentemente hay un nuevo requisito para que las cuentas de Microsoft para la contraseña no tengan más de 16 dígitos de longitud. Si escribo los primeros 16 dígitos de mi contraseña, puedo iniciar sesión.
Eso me hizo pensar: si las contraseñas se almacenan como hashes de una sola vía, un hash de una contraseña de 16 dígitos y uno de 20 dígitos no son remotamente similares. No puede validar un hash de 20 dígitos utilizando solo los primeros 16 dígitos.
Si Microsoft almacena correctamente las contraseñas (salt & hash), ¿cómo pueden validar una versión más corta de mi contraseña?