パスワードの長さを10文字や12文字に制限しているサイトをたくさん見ました。これは、パスワードをプレーンテキストで保存していることを示している可能性があり、スペースを節約できると考えて長さを制限していることを理解していますが、パスワードをハッシュとして保存している場合、この制限に利点はありますか?
編集:パスワードが長いほど強力であり、ハッシュはハッシュであり、入力に関係なく長さが同じであることを私はよく知っています。ここでの私の本当の質問は、システム設計者がこの本質的に安全でない慣行を合理化するために使用するある種の複雑な理由があるかどうかです。
ハッシュ関数は、指定されていない長さの入力を受け取り、指定された長さの値を返します。つまり、出力の長さは特定のハッシュ関数で常に同じであるため、入力の長さは出力の長さに影響を与えません。
ユーザーが使用できるパスワードの長さに下限を設定することは、ユーザーがより強力なパスワードを使用することを奨励するためだけです。上界と下界、私には言えませんでした。スパムボットに対する何かである可能性があります。または、パフォーマンス上の理由から200文字のパスワードを処理する必要はありません。
そして、誰もパスワードを平文で保存しません。
あなたの質問に直接答えるために、いいえ、低い最大長を意図的に実装することに利点はありません。これは、レガシー依存関係がある場合に発生することがわかります。この制限を実装するシステムへのバックエンドであるため、パスワードの長さは10文字のみです。
これは、テスコのようなシナリオの場合だと思います。あなたは13歳以上のシステムを持っていて、あなたが言うように、それは(伝えられるところでは)パスワードを平文で保存していて、おそらくその10チャット制限が実装されている複数のポイントがあります(DB列、SQLコマンドパラメータなど)。
私が考えることができる唯一の理由は-そしてそれは一筋縄ではいきません-lmitのないテキストボックスは最大リクエスト長を超える可能性があるということですが、ここでは途方もなく長いパスワードについて話しています。
いいえ。実際の生活でも、プレーンテキストで保存している場合はそれほど利点はありません。