这可能听起来像一个无聊的问题,但安全领域的人会得到它.我应该让用户输入任意数量的字符,只要它大于0个字符.我的逻辑是：

>无论如何,密码将被哈希和腌制,并且
>对于做彩虹表的人来说,没有任何长度/其他指导更有趣,但是
>我担心的是暴力字典攻击.

我有没有走上正轨呢？

既然我在问下限问题,我不妨问一下上限？再次,它将被哈希和盐渍,因此数据库大小不是问题.那么在这种情况下我能想到的唯一问题是缓冲区比什么都重要,对吧？

更新对于那些迟到的问题

因此,普遍的共识似乎证实了我最初的想法,即蛮力增加的风险.然而,由于他们没有关于尺寸的线索这一事实,RT破解者的工作不会那么困难.实际上它可能更容易,因为无论如何它们都从较低的字符表开始.正确？ (更不用说现在出现的非技术性问题,而不是关注某个人的肩膀等等,这对于更长的密码并不是一个大问题.)

所以结论是：即使您对密码进行哈希/加密,短密码仍然存在风险

但是对于长密码,我不确定我有一个确定的答案？我应该担心缓冲区溢出,它毕竟仍然是一个常规输入字段.