La lunghezza massima della password indica memoria non hash?

Ci sono alcuni motivi per cui potrebbero essere stati imposti dei limiti:

• Alcuni sviluppatori ritengono che limiti ragionevoli (ad esempio 120 caratteri) riducano il carico del server per l'hashing delle password di dimensioni ridicole. In realtà, i sovraccarichi di trasferimento sono probabilmente più intensi, in quanto i dati vengono ridotti a uno stato di lunghezza fissa nel primo round della maggior parte degli hash, quindi è un punto piuttosto discutibile.
• Consulenza legacy. I vecchi sistemi avevano dei limiti tecnici che richiedevano che le password fossero brevi (ad esempio 14 caratteri o meno) e questo ha permeato i consigli dati ai nuovi sviluppatori. È irritante e arretrato, ma succede. Si lega anche all'atteggiamento "abbiamo sempre fatto così" che molti luoghi hanno.
• Riduzione delle chiamate di supporto tecnico e ripristino del volume. Questa è di gran lunga la ragione più legittima, ma viene anche fornita con alcune avvertenze che la rendono in gran parte una cattiva idea. Ci si aspetta che gli utenti dimentichino le loro password ogni tanto, e le password complesse / lunghe sono viste per aumentare questo tasso. Tuttavia, se ti capita di avere una "struttura" per la tua password, che comporta una lunghezza fissa troppo grande per questo particolare servizio, allora porta a una maggiore probabilità di reimpostazioni.

Tutto sommato, ciò non significa che l'hashing non viene fatto. Significa solo che stanno seguendo un cattivo consiglio e stanno continuando con uno status quo di cattive pratiche.

Alcune domande correlate:

• Quali motivi tecnici ci sono per avere una lunghezza massima delle password bassa?

• Devo avere una password massima lunghezza?

• Bcrypt ha una password massima lunghezza?