Quando un sistema richiede una password compresa tra 6 e 20 caratteri, vuol dire che la password è memorizzata senza usare una funzione di hashing e che il campo mysql (o simile) ha una lunghezza di 20 caratteri?
C'è qualche ragione per avere una lunghezza massima se viene usata una funzione di hashing?
Sto pensando forse a una vulnerabilità del DOS quando ho delle password enormi. Un limite di ~ 100 caratteri dovrebbe essere sufficiente per fermare questo, senza disturbare gli utenti. Forse anche tagliare la password a una lunghezza specifica prima di averla?