Password practice
Practices to implement password login feature
User account feature for Web applications
Account authentication and password management best practices | Google Cloud Blog
5. Don't block long or complex passwords
文字数に上限をもうけていいの?
Hash にするのだから文字数制限は意味がないはず
サーバーのメモリに制限がある?
POST できるデータ量に制限がある?
どちらも基本テキストのパスワードにはあまり関係ないのでは。。。
使える文字の種類に制限があっていいの?
ascii しか扱えないなら BASE64 すればよい
パスワードの要件をガイドラインと実態調査から考える: NECセキュリティブログ | NEC
Yahoo Japan のパスワードレスは体験がよい
どうしてSMSでMFAはダメだと言われているのか
NIST Recommends Some Common-Sense Password Rules - Schneier on Security