毫无理由的限制字符

搜狐通行证的密码居然限制字符
https://passport.sohu.com/web/modifypwd.jsp?reflag=11
 * 密码长度为6-16位，且仅限字母、数字以及-和_,字母区分大小写。

这个限制有点莫名其妙了。密码字符与用户帐号字符没有可比性，这个限制毫无意义。
其他邮件系统，密码字符是可以采用~!@#$%^&*()_+|":?><.等特殊字符的。

如果是做hash保存，比如常用的MD5或SHA1 hash。密码应该是能接受所有可由键盘输入的字符的。
因为用户数据库的密码文件保存的不是明文或某种对称加密后密文。而只是保存一个散列,即使管理员可以访问用户的密码文件，也只能修改密码，而无法获取原来密码的明文。

也就是可以接受all_printable char(95):
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghjiklmnopqrstuvwxyz1234567890 `~!@#$%^&*()-_=+|,./<>?;:'"[]{}

比如下面这个密码，12字节，包含字母，数字，还有四个特殊字符：@,.%。
应该说是很健壮的密码。
12 bytes的密码空间达到95^12,差不多2^80。也就是信息量为80bits。
当然，这个密码只是举个例子，随便写的。
ascii:
;we@PRC.100%
hex:
x3Bx77x65x40x50x52x43x2Ex31x30x30x25
md5:
4f4e0aec0aab9d46035b5e890fa09f16
sha-1:
d9f9ab2672a8824478eb581326eca0c29a20c7a6

但是搜狐通行证不能接受:新密码不合法，请重新输入新密码。

这使我想起几年前的一个事。USTC 图书馆以前用户的管理系统，密码是明文保存的。而且，浏览器登陆后，url后面直接是一个use=..&password==..，这叫一个汗。
有个同学(M)密码忘记了，去问管理人员(F)。F是一个青年妇女。
查了后，对话:
M:密码多少？
F:(脸红怒道)，我不说了，你自己看！
M:(转到显示器前面), 原来是"fuckyou"（ft，自己设这个密码，居然忘了）

其实起一个健壮且好记的密码方法很多，
抛弃用名字，电话号码，生日，简单数字，单词等方法的弱密码。

比如：
16字节的密码：
main(){return0;}
这是个最简单的main函数()去掉1个空格，好记。

14字节的密码:
juzirRMB3.5/kg
橘子人民币3.5元每千克。

12字节的密码：
__asm rdtsc;
这是内嵌一条汇编指令，也好记。

比如前不久这个华南虎吧,12字节的密码：
hnhdnpdyz^_^
华南虎顶你片大叶子,后面来个笑脸^_^,也好记。

以前看一个电视剧，里面有个密码是一句话：
我的未来就是你的未来