Tach!

Wie lang sollte ein Passwortfeld sein? Habe es gerade mal auf 25 erhöht, sollte doch reichen? Für mich ist es eh egal, wieviel Zeichen ein User benutzt, in der Datenbank kommt es eh mit Prefix versehen und MD5-gehashed an.

Dann ergibt sich erst recht keine Notwendigkeit, das Feld in seiner Länge einzuschränken. Selbst wenn man verhindern möchte, dass jemand bei übermäßig langem Passwort zu viel Hash-Rechenzeit verbraucht, muss man nicht unbedingt an dieser Stelle einschreiten. Üblicherweise gibt es eine Begrenzung der Größe der POST-Daten. Und innerhalb sinnvoller Werte für diese, sind die Rechenzeiten akzeptabel. Das Problem ist dann eher, dass Anmeldungen mit solch großen Passwörtern in aller Regel Angriffsversuche darstellen, und man ein generelles Vorgehen bei ebensolchen ausarbeiten sollte.

dedlfix.