No hay un porqué desde el punto de vista del desarrollo.

El tema de poner usuarios y contraseñas de más de 4 o 6 caracteres es cuestión de seguridad. Más caracteres = más trabajo para un cracker, por ejemplo. Todo lo que sea relacionado con el formato de la contraseña tiene que ver con políticas de seguridad, en general.

Ahora el tema de la base de datos, tenés que poner un límite porque no vas a reservar 255 caracteres para almacenar un nombre de usuario que quizás no tenga más de 10. Y ese límite se tiene que reflejar en el formulario, por supuesto.

Por otro lado fijate si te conviene (para tu proyecto y diseño) que un usuario tengaunnombredeusuarioasidelaaargo o mejor que queden cortitos, más prolijo.

Acordate de no almacenar las contraseñas en la base de datos sin cifrar, y en lo posible utiliza un método no reversible, como md5() o bien md5(md5()). Si el usuario se olvidó la contraseña generás una nueva y listo..

Éxitos con eso. Saludos.