百度密码限制最长 14 位，差评一下！

14 位是太多还是太少？

@AoEiuV020CN 根本就不应该有密码长度的限制吧。

后端又不需要明文存储密码，（大多数情况下）存的都是哈希值，为什么要限制原始密码的长度呢？这很难理解。

@Darkside 根本就不应该自己记忆密码吧。
用密码管理器，14 位密码的安全性扛不住爆破吗？这很难理解。

@whileFalse 如果某些密码管理器默认生成的密码就是 16 位的怎么办？ V 站的同学可以自己手写，普通用户就得头疼了。

如果后端存储哈希值的话，去掉密码长度限制本来就不需要密码管理器、安全之类的前提，而是一种更符合常理的做法。

@MinecraftFuns 默认生成 16 位，不能改成 14 位，这样的密码管理器叫什么名字？我去下载瞻仰一番。

@whileFalse Chrome 。

对于密码输入框来说，14 位确实少了点，更大众的数字是最多 64 位吧？或者说我这黄历有点旧了。。。

@MinecraftFuns #4 呃。。。您搞错了一件事。。。普通用户是不会用密码管理器的😂

@MinecraftFuns 那不应该差评 chrome 么。另外，删两位不就完了。
@Tumblr 一个会用密码管理器的人搞不定 14 位密码，这不符合常理。

@MinecraftFuns 请问下你是用 chrome 作为主力密码管理器吗？那么在 app 中登录时的密码该如何管理呢。

如果是百度的话,估计就是远古代码没法改了,百度那帮人乱得很

@whileFalse 我觉得我可能陷入了和你辩论的误区。

如果跳出我们的争论，直接看原本的问题，就像我在 #4 说的那样。

「如果后端存储哈希值的话，去掉密码长度限制本来就不需要密码管理器、安全之类的前提，而是一种更符合常理的做法。」

如果“简单”比“复杂”更加接近“正确”，那么就应该承认，去掉密码长度限制比保留“最长 14 位”的密码长度限制更好。

限制本身不正常。

@whileFalse #5
@MinecraftFuns #6
我之前看过一个站只允许某几个特殊字符，但是 Edge 的选项里并不能选择不包含特殊字符，，就略蛋疼。。虽然那个站本身并不重要。。

所以现状是，，如果一个站本身不重要，我会用自动生成的密码，如果稍微有些重要。。为了应对不得不手动输密码的情况，我会用固定 12 位 + 4 位周期变动的密码方案，只记这四位；

现在电脑、手机浏览器都用的 Edge ，手机上还装了微软验证器，可以实现部分 app 内自动填充；

说起来微软的网页入口是啥地址？

应对谷歌的 https://passwords.google.com/

@MinecraftFuns 任何东西都是要有限制的。随便举一个例子。

有一种东西叫做 web 防火墙，可以通过简单的规则匹配，当发现请求中包含注入字符串的时候就自动阻断。我们用的 web 防火墙对于请求体大小有限制，超过 64k 的部分无法判断。所以在添加 web 防火墙的时候，对于一般的小尺寸接口可能还要加一个限制，超过 64k 的请求也直接阻断。
然后，如果之前用户设置了一个 65k 长度的密码，现在他就没法登录了。

这个例子很离谱，但就是告诉你，没有任何限制的系统会在你意想不到的地方出问题。14 位限制在现在看来可能可以提升一下，但不提升又怎样？提升了又能怎么样？说白了，吹毛求疵的用户的钱是最难赚的，最好不理会他们的需求让他们用脚投票，舒舒服服地赚小白的钱。

越复杂的条件限制会让用户使用越"简单"的密码,并在多个网址重复使用.

@whileFalse 差评 chrome 不支持生成更长的密码？同时差评 baidu 不支持更长密码……
chrome 管理密码的话，iOS 是可以直接在应用中自动填充的，只要装了手机 Chrome 并自动同步，系统设置里的密码选项里就可以选择自动填充 Chrome 记住的密码。

@MinecraftFuns 没有什么应该不应该的。我都能想象得到发生了什么。无非就是 dto 什么的里面在远古时期写死了 type: varchar, length: 14 什么的，那也没办法, 这种东西随便改改来几个十几个 p0 不是闹着玩的。

@MinecraftFuns #6 截图里面的例子，不是生成了一个 15 位的密码么？

限制 14 位，但是你可以每次都输入超过 14 位（比如 16 位），它每次都只会截取前 14 位，这样就没啥区别了

限制 14 位确实太少了