¿Una longitud máxima de contraseña significa almacenamiento sin hash?

Hay algunas razones por las que se podrían haber impuesto límites:

• Algunos desarrolladores creen que los límites razonables (por ejemplo, 120 caracteres) ayudan a reducir la carga del servidor para el hashing de contraseñas de tamaño ridículo. En realidad, los gastos generales de transferencia son probablemente más intensivos, ya que los datos se reducen a un estado de longitud fija en la primera ronda de la mayoría de hashes, por lo que es un punto bastante discutible.
• consejos legados. Los sistemas realmente antiguos solían tener límites técnicos que requerían que las contraseñas fueran cortas (por ejemplo, 14 caracteres o menos) y esto ha permeado el asesoramiento dado a los nuevos desarrolladores. Es irritante y al revés, pero sucede. También se relaciona con la actitud de "siempre lo hemos hecho así" que muchos lugares tienen.
• Reduciendo las llamadas de soporte técnico y restableciendo el volumen. Esta es, con mucho, la razón más legítima, pero también viene con algunas advertencias que lo convierten en una mala idea. Se espera que los usuarios olviden sus contraseñas de vez en cuando, y se ve que las contraseñas complejas / largas aumentan esta tasa. Sin embargo, si tiene una "estructura" para su contraseña, lo que implica una longitud fija que es demasiado grande para este servicio en particular, entonces esto conduce a una mayor probabilidad de reinicios.

En definitiva, no significa que no se esté haciendo hashing. Solo significa que están siguiendo un mal consejo y continúan con un status quo de malas prácticas.

Algunas preguntas relacionadas:

• ¿Qué razones técnicas existen para tener una longitud máxima de contraseña baja?

• ¿Debo tener una contraseña máxima? longitud?

• ¿Tiene bcrypt una contraseña máxima? longitud?