Mentre una risposta definitiva può venire solo dall'origine del messaggio e dalle restrizioni, ci sono alcuni punti da fare.
L'idea generale di limitare le password in questo modo (specialmente con la parte tmp) suggerisce che qualcosa non è come dovrebbe essere e suggerisce le password in testo semplice. Tuttavia, a beneficio del dubbio, potrebbero utilizzare uno speciale schema di hash che blocca i primi tre caratteri della password separatamente, consentendo loro di verificare la presenza di password assegnate temporaneamente.
Questo potrebbe rappresentare una minaccia, a seconda di cosa viene dopo la parte tmp
: se questo è solo 5 numeri, lo spazio di ricerca per l'enumerazione su tali password è minuscolo, per esempio.
In ogni caso, questa restrizione suggerisce loro di utilizzare password per archiviare informazioni che non vi appartengono (ma in un campo separato nel database) - e anche se non deve rappresentare una minaccia di per sé, implementando tali tecniche è generalmente un segno di cattiva ingegneria del software.
Questo di per sé può rappresentare una minaccia: gli sviluppatori software sbagliati hanno più probabilità di commettere errori su molti livelli che aspettano solo di essere trovati e sfruttati.
Qualunque sia la ragione per cui possono implementare questa restrizione, è un segno di programmazione errata e / o software scadente o ingegneria di database e quindi un segno di pericolo; dovresti utilizzare una password monouso e sicura e considerare fondamentalmente l'account compromesso per essere al sicuro.