パスワードの長さの上限
(2019/12/9)
パスワードを管理するサービスは、パスワードをそのまま記憶するのではなく、パスワード(+α)のハッシュを記憶するのが普通ですが、ハッシュ値のサイズは大きくないですから、記憶容量の問題で文字数制限が必要だとは考えにくいです。ユーザが100000文字のパスワードを入力したとしても、それを安全にサービスに送ってハッシュを計算させることに何の問題もないはずです。文字数制限があるサービスが存在するのは、エンジニアが「なんとなく最大文字数とか決めといた方が良いんじゃね?」みたいに、貧乏かつ間違った認識でシステムを作っているからでしょう。
特に反論は無いのでこの認識は正しいのだろう。パスワードの長さの制限はなくすべきである。
#ブログ 2019/12/9