Me gustaría permitir que los usuarios de mi aplicación web tengan contraseñas largas, si así lo desean. Hoy me di cuenta de la limitación de la longitud de la contraseña de bcrypt (72 caracteres, el resto está truncado).
¿Sería seguro para mí hacer lo siguiente? Estoy usando PHP.
Implementación actual:
password_hash($password, PASSWORD_BCRYPT, $options);
Implementación en cuestión:
password_hash(hash('sha256', $password), PASSWORD_BCRYPT, $option);
¿Cuáles son los inconvenientes de la implementación en cuestión?
No soy un experto en criptografía, por favor avise.
¿La implementación en cuestión limitará la longitud de la contraseña que un usuario puede usar? Si es así, ¿cuál será el límite?