Часто спрашивают, зачем ограничивать пользователя в выборе пароля: определять допустимую длину пароля и допустимые символы. В качестве аргументов в пользу отсутствия ограничений приводят следующие тезисы:
- отсутствие лишних сообщений об ошибке — благо для пользователя;
- пароли хэшируются, значит, в базе данных отводится всегда одно и то же место для паролей любой длины;
- хакеру сложнее подобрать пароль, потому что при использования перебора, ему перебрать все возможные комбинации символов.
В целом, это выглядит убедительно. Однако, есть два момента, о которых не стоит забывать разработчикам интерфейсов и требований:
- Вы планируете поддерживать мобильные устройства? Тогда, ограничивайте набор символов английским алфавитом, цифрами и простейшими знаками препинания. Эти символы могут быть введены на абсолютно любом устройстве. Эти символы в любой кодировке будут переданы правильно, соответственно, в вашем баг-трекере никогда не будет баги о том, что пароль передан в неправильной кодировке.
- Планируете писать клиент на Java ME? Вам придётся ограничить сверху количество символов, потому что в MIDP не существует бесконечных полей для ввода. Хотите написать своё? Тогда вам придётся ограничить набор допустимых символов ещё больше.
Таким образом, ограничение длины пароля технически обусловлено. Соответственно, если мобильные устройства не актуальны, то я согласен со сторонниками неограниченных паролей.
В заключении, хочу добавить, что на этом сайте есть программа для мобильников QWERTY, которая поможет ввести пароль в браузере, в том числе в Opera Mini, если Вы привыкли набирать пароли в английской раскладке русскими буквами. Это одна из самых часто используемых мною программ.