Максимальная длина пароля

С тех пор, как вспыхнуло сердцебиение, я менял свои пароли, но обычно всякий раз, когда я пытаюсь улучшить свой пароль, меня поражает страшная "Макс. Это заставило меня задуматься: почему многие веб-сайты требуют, чтобы пароли были длиной менее 20 символов, а затем пытались заставить вас использовать сочетание символов, цифр и верхнего / нижнего. Использование 40-символьного длинного предложения с небольшой креативной грамматикой кажется гораздо лучшим способом защиты ваших паролей.

Я использую PHP и обычно разрешаю пароли длиной 64+ без проблем. Есть ли какая-то программная причина, по которой многие сайты по-прежнему используют менее 20 символов для своих паролей?