Это тёмной ночью, когда отключается восприятие мира и настоящего, когда остается функционирование только логики, и то... с периодическими переполнениями, я решил создать сей тред.
На моё мнение, любой программный продукт, любой сервис должен информировать про максимальную эффективную величину пароля вместе с детальным указанием всех допустимых символов. (а в идеале - и с указанием алгоритма хранения пароля)
Допустим, мы зарегистрировались на сайте с паролем в целых 17 символов! Однако пароль хранится в хеше md5, который дает лишь 16 символов. Значит, уже будет существовать не нулевая вероятность коллизии, что снижает безопасность (причем не исключено, что такой же хеш будет давать обычная последовательность из популярных словарей для перебора). Добавим сюда использование соли. В результате будеv получать хеш из данных на 3, 5, а то и больше, символов. Во сколько возрастет вероятность коллизии? [бесспорно, атака на хеш усложнится, однако сейчас речь идет о коллизиях].
Мне кажется, что всюду надо переходить на SHA512. И полностью информировать пользователей об используемой защите!
