Acabo de hacer una nueva cuenta con algún servicio de eGov (gobierno belga). Uso LastPass (que genera cadenas largas y aleatorias para cada sitio),
Pero el sistema me dijo que la longitud máxima permitida era de 16 símbolos ASCII. Por que las personas hacen esto? Si lo hacen, entonces la longitud no debería importar, ¿verdad?
¿Hay alguna razón para esto? No puedo ver ninguna buena explicación para esto. ¿Qué me falta de algo aquí?
Algunas funciones de hash se basan en cifrados de bloque como DES. El tamaño de entrada máximo (efectivo) de estos algoritmos está limitado por el tamaño de bloque del cifrado interno. Ver por ejemplo:
Por supuesto, existe una posibilidad no despreciable (estamos hablando de eGov) de que el almacenamiento de la contraseña de su servicio en particular es fundamentalmente defectuoso.
Lea otras preguntas en las etiquetas passwords password-policy