Il sito di internet banking della mia banca applica una politica piuttosto strana: non ti consente di impostare una password che contenga cifre diverse da quelle in essa contenute. L'unica ragione che posso immaginare è che non stanno usando una funzione di hash della password standard del settore, come ad esempio SHA-256, ma qualche stupida sostituzione homebrew che funziona solo su cifre. Qualcuno ha una spiegazione migliore? Il mio è alquanto spaventoso, per quanto riguarda la sicurezza.
Molto probabilmente stanno prendendo in considerazione tutte le forme di input da parte dell'utente (e hanno bisogno della password per funzionare tramite altre modalità come ad un bancomat o tramite telefono con touch-tone) e quindi limitarlo a soli numeri. Naturalmente l'unico modo per essere sicuri è di farli rispondere a questa domanda, ma lo scenario non è raro con le banche che hanno consolidato le funzioni di remote banking su una piattaforma.
Modifica: Ricordo una domanda molto simile a questa su SE (penso che fosse qui in sicurezza) ma la ricerca non sta trovando quello che sto cercando ... Qualcun altro ricorda?
I can imagine is that they are using not an industry-standard password hash function like say SHA-256
Da una nota a margine, tieni presente che le funzioni hash crittografiche per scopi generici come SHA o MD5 sono non progettate per l'hashing della password. In realtà sono piuttosto cattivi, non importa quanti bit di output produce.
Ulteriori letture: Come password di hash sicure?
Riepilogo aggiornato (+ implementazione del codice): Come memorizzare in modo sicuro la password nel 2016
Nota: avrei dovuto postarlo nella sezione commenti, ma non posso poiché non ho ancora 50 reputazione.
Leggi altre domande sui tag web-application password-policy