Ugyan értem a problémát, a 16 egy nagyon alacsony szám, de az sem lenne jó, ha valaki 16 MB-os jelszóval trollkodná szét az adatbázist meg a futásidőt. Jelszót clear text nem tárolunk, a hash-nak meg mindegy, hogy a forrása mennyi karakter.