O tamanho máximo até faz sentido se você estiver usando Bcrypt, bcrypt has a max · filipedeschamps

Respondendo a "Na verdade, escrever regras de senha por si só..." dentro da publicação Compilação de sites que possuem regras "burras" de senha

filipedeschamps

2 anos atrás

O tamanho máximo até faz sentido se você estiver usando Bcrypt,

bcrypt has a maximum length input length of 72 bytes for most implementations. To protect against this issue, a maximum password length of 72 bytes (or less if the implementation in use has smaller limits) should be enforced when using bcrypt.

https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#:~:text=bcrypt%20has%20a%20maximum%20length,be%20enforced%20when%20using%20bcrypt

É o que fazemos aqui no TabNews:

https://github.com/filipedeschamps/tabnews.com.br/blob/f0db9131dd2ae08f6417d48b2d09b99c8baf6243/infra/migrations/1632278997051_create-user-table.js#L24-L28

[edit]

Fora isso, se você não definir um tamanho máximo, vai virar vetor de ataque.

[edit2]

Um comportamento interessante do bcrypt é que se você mandar uma string que ultrapassa o valor máximo, ele não nega. Ele irá descartar os caracteres restantes. Então se você colocar uma variação ao final desta string que ultrapassou o limite, tanto faz.

uriel

2 anos atrás

O tamanho máximo até faz sentido se você estiver usando Bcrypt

Alguma alternativa ao Bcrypt?
Não da pra fazer com o próprio node e seu módulo node:crypto?

filipedeschamps

Autor

2 anos atrás

Acho que tem várias alternativas, mas o Bcrypt é uma ótima escolha, ainda mais com Salt Rounds alto.