パスワードにばかげた制限を課している有名な Web サイトや Web アプリをたくさん見かけます。パスワードに文字制限を設ける正当な理由はありますか? より具体的には、一般的な ([shift]+[数字キー] のように) 標準の ASCII 半角文字? 異常に短い長さの要件 (5 ~ 8 文字) についてはどうですか?
私が考えることができる唯一の技術的な理由は、パスワードが、少なくとも何らかの形で難読化/ハッシュ化されるのではなく、プレーンテキストで保存されている場合です。私が考慮していない他のそれほど驚くべき理由はありますか?
注:客観的な回答を期待しており、このトピックの主観的な側面を掘り下げたいという誘惑を避けたいと考えています。そのような制限が必要な理由について、実際の/具体的な技術的理由にもっと興味があります。
Web サイトの所有者は、一部のキーボード/OS では再現できないエキゾチックな文字を使用する場合に、ユーザーの問題を回避したい場合があります。パスワードは実際には表示されないため、入力した内容が意図したものではない可能性が非常に高いことに注意してください。Caps Lock について考えてみましょう。まったく同じ理由で、Facebook は非常にリラックスしています。パスワードの大文字と小文字。
パスワードの長さの下限は、明らかにセキュリティ上の理由からです。パスワードが短いほど、クラックにかかる時間は (指数関数的に!) 短くなります。
Web サイトでパスワードの長さに上限がある理由がわかりません。結局のところ、それらはすべてハッシュ化およびソルト化されているため、すべてのパスワードはデータベース内のまったく同じスペースを占有しています...
それらがプレーンテキストで保存されていると言っても、これらの文字を制限する場所がある理由とは何の関係もありません。プレーンテキストで保存することは、まったく別の問題です。最も一般的な理由は、基盤となるオペレーティング システムがこれらの「特殊な」文字を処理できないことです。企業はアップグレードに時間がかかります。難読化はほとんど効果がありません。それが彼らが使用するものであろうと、彼らのチームが作成したものであろうと、ほとんどの場合、ソフトウェアの制限です。
Windows 2000 およびそれ以前のバージョンでは、8 を超える長さのパスワードをサポートできないと思います (その数字については間違っている可能性があります)。