Vlákno názorů k článku Měřičům síly hesla nemůžete věřit. Ani tomu od Seznamu od Petr - Co mě vytáčí je omezení hesla ať už...

Co mě vytáčí je omezení hesla ať už na délku nebo použité znaky, které není při zadávání vidět. Registroval jsem se zrovna nedávno u jednoho virt. operátora, reg. ok, ale nešlo se přihlásit. Dám že jsem zapomněl heslo a přišlo mi mailem zpět původní! Ukládat plaintext, to jsem myslel, že nedělá už snad nikdo. Každopádně moje heslo přišlo zpět o 1 znak kratší, takže klidně heslo usekli na max. délku (btw 19zn) a vůbec nedali při zakládání vědět, že 20 je moc (i když nechápu proč).

pokud budou tvoje 20 znaký heslo akceptovat, je to v pořádku, kromě toho, že 19 znaků je málo.

V php se doporučuje používat bcrypt na ukládání hesel, ten také seká někde kolem 60 znaků (nevím už z hlavy přesně).

Neakceptovali, musel jsem si poslední písmenko v password manageru odmazat.

Těch 60 znaků je délka hashe co leze z bcryptu, vstup seká na 72zn. (našel jsem si, myslel jsem, že vstup může být libovolný).

podobně se k heslům chová i česká datová schránka, na vstupu vezme nějaké heslo, ale poté se s ním už nemohu přihlásit a musím jít na checkpoint a uplatit je dvoukilem, grrr.

Ono to bude záležet na každé implementaci bcrypt a časem se délka osekání bude prodlužovat, důvod je nejspíš, aby nemohlo dojít k DoSu služby na ověřování hesla.