L'unica ragione valida per la sicurezza di cui sono a conoscenza si riduce a "per evitare gli attacchi DoS contro il nostro hash delle password lente caricando quantità assurde di password", e 60 è un limite troppo basso per farlo avere molto senso .
Il motivo meno peggio di cui sono a conoscenza è "perché gli utenti sono stupidi e se gli permettiamo di usare l'intero testo di Moby Dick come loro password, alcuni lo faranno, e poi alcuni di essi ne faranno di sbagliato di esso o pensano di aver usato Don Chisciotte invece, e poi penseranno che hanno completamente dimenticato la loro password e stanno andando a consumare risorse di supporto o semplicemente smetteranno di usare il sito ", che ha almeno il vantaggio di non presumere che gli utenti siano meno intelligente di chiunque sia arrivato con la politica della password.
O forse non riescono a immaginare nessuno che usi una passphrase lunga da onesta a $ DEITY. Sarò onesto, nessuna delle mie passphrase è più lunga di 60 caratteri; è un dolore scrivere così tanto. Diamine, potrebbe anche essere solo una limitazione lato client, inserita da qualcuno che non capisce nulla sulla sicurezza delle password, ma pensa che stanno risparmiando spazio nel database.
Tutti gli altri motivi sono segni negativi, per quanto riguarda la sicurezza.
Alcuni di loro sono più o meno cattivi di altri. Qualunque cosa implichi "per risparmiare spazio" o "la dimensione del campo nel database" è una bandiera rossa critica; significa che stanno memorizzando le password sia in testo normale che con crittografia reversibile, invece che con un hash di qualità minima. Ciò significa che chiunque abbia accesso al proprio archivio di credenziali, sia che si tratti di un amministratore inaffidabile o di qualsiasi "hacker" che trova un'iniezione SQL, è in grado probabilmente di individuare ognuna di quelle credenziali con una minima difficoltà. In alternativa, potrebbero "semplicemente" utilizzare un algoritmo obsoleto di hashing della password che ha una lunghezza massima inerente (non ancora buona - quegli algoritmi sono obsoleti per buoni motivi - ma almeno probabilmente avresti bisogno di una tabella arcobaleno o di qualche ora di EC2 tempo di forza bruta di loro).