Cuando un sistema requiere una contraseña de entre 6 y 20 caracteres de longitud, ¿significa que la contraseña se almacena sin usar una función de hashing y que el campo mysql (o similar) tiene 20 caracteres de longitud?
¿Hay alguna razón para tener una longitud máxima si se utiliza una función de hash?
Estoy pensando que tal vez una vulnerabilidad de DOS cuando hashing enormes contraseñas. Un límite de ~ 100 caracteres debería ser suficiente para detener esto, sin molestar a los usuarios. ¿Tal vez incluso cortar la contraseña a una longitud específica antes de tenerla?