У меня есть проблемы с этим вопросом, так как он предполагает, что должен быть стандарт, и что значения будут одинаковыми для всех служб.
Я не думаю, что полезно устанавливать максимальную длину для любого из этих полей, особенно для поля пароля. С хэшированием пароля нет никакой выгоды от ограничения длины пароля. Может быть причина для ограничения минимальной длины пароля, но минимальный размер пароля зависит от безопасности службы.
Имея адрес электронной почты, вы не можете угадать, как долго будет выбирать адрес ваши пользователи, и насколько он короток: кто вы такой, чтобы сказать, что a.very.long.address@some.subdomain.of.makealongeremailaddress.com isn и наоборот, Twitter не начнет продавать псевдонимы электронной почты на t.co?
Имена пользователей немного сложнее рассуждать, но, опять же, я бы сказал, что ограничение длины не имеет смысла. Если ваш сервис, вероятно, будет популярен, то (как и в Google) вы можете выиграть от остановки гонки, чтобы получить короткие имена для тщеславия, но особенно если вы популярны, ограничение длины не имеет смысла, и если вы это сделаете, вы можете не позволяйте своим пользователям находить подходящее имя, которое еще не занято (см. «Нет-как-большой-как-средний-размер-Джок-но-больше-чем-Ви-Джок-Джок»).