[coredev]

Lite som hnn var inne på, kan ha varit en extern eller intern resurs som satt en begränsning. Ett exempel är att en databasutvecklare godtyckligt tycker att alla nog bör klara sig på 10 tecken i lösenordet och därför sätter en varchar(10) som datatyp på kolumnen. Ett annat exempel är att man har en extern autentiseringsmodul i bakgrunden som i sitt api kräver att lösenordet max får vara 10 tecken långt. Gamla autentiseringsprotikol som RADIUS är nästan uteslutande uppbyggt på fält med fasta längder (t.ex. 16 bytes).

Jag kan förstå att man av säkerhetsskäl sätter en övre begränsning på runt 20 tecken. Ett så långt lösenord kopieras med stor sannolikhet från en textfil istället för att skrivas in, och det är inte riktigt ok.