问我应该对密码设置最大长度吗？

EN

密码被散列为32、40、128，无论长度如何。设置最小长度的唯一原因是防止容易猜到密码。最大长度是没有意义的。

强制性的XKCD解释了为什么如果你强加一个最大长度，你就会伤害你的用户：

​

​

密码字段中指定的最大长度应读取为安全警告。任何明智的，有安全意识的用户都必须做最坏的打算，并期望这个站点按字面意思存储您的密码(即，不是散列的，就像epochwolf所解释的那样)。

在这种情况下：

1. 如果可能，避免像使用瘟疫一样使用本网站。他们显然对安全一无所知。
2. 如果你真的必须使用该网站，请确保你的密码是唯一的-不像你在其他地方使用的任何密码。

如果你正在开发一个接受密码的网站，不要设置一个愚蠢的密码限制，除非你想被相同的刷子弄得焦头烂额。

当然，在内部，您的代码可能只将前256/1024/2k/4k/(随便什么)字节视为“重要”字节，以避免处理庞大的密码。

如果您接受来自不受信任来源的密码，则允许完全无限制的密码长度有一个主要缺点。

发件人可能会尝试为您提供过长的密码，从而导致拒绝为其他人提供服务。例如，如果密码是1 1GB的数据，并且您花费了所有时间来接受它，直到内存耗尽。现在，假设此人向您发送此密码的次数与您愿意接受的次数相同。如果您不注意涉及到的其他参数，这可能会导致DoS攻击。

以今天的标准来看，将上限设置为256个字符似乎过于慷慨了。