No estoy seguro de que diga que generalmente no está permitido, pero tienes razón, muy a menudo están restringidas.
El problema generalmente involucra a cualquier lugar en el que tenga que pasar texto a través de una interfaz, ya sea una consulta SQL, una línea de comandos, una URL, etc. Por mucho, el principal culpable son las consultas de base de datos. La barra invertida se usa como un carácter de escape, las barras diagonales se usan en expresiones regulares, rutas de archivos, etc. MySQL incluso tuvo un error documentado hace unos años donde ignoró la barra invertida en las contraseñas. enlace de manera que "abc \ def" y "abcdef" se tratarán como la misma contraseña.
Se trata de una batalla de inconvenientes. Puede abordarlo en varios lugares, pero en su mayoría solo está pateando la lata para ser tratado en otro lugar, o introduciendo más problemas que no esperaba, como descubrir que las contraseñas de los usuarios que contenían una barra invertida funcionan en la web, pero no se aceptan en su aplicación porque su desarrollador web y su equipo móvil no estaban en la misma página con respecto a cómo escapaban los caracteres especiales en cadenas de contraseña.
Muchos desarrolladores simplemente optan por "no puedes usar barras diagonales en tu contraseña o nombre de usuario".