У вас разработчики кодят, что им тестировщик скажет?
нет конечно, но ведь тестеру надо разобраться что ожидать, чтобы знать где баг а где нет. Бывает что не описано точно как должно быть, надо "догадаться самому"
можно попробовать самому вычислить максимальную длину, и посмотреть что максимум работает а максимум+1 нет. и залогиниться с обоими
можно использовать спец-символы в логинах, например создать несколько десятков пользователей из спец-символов, например -, ", @ и так далее, и логиниться с каждым. Потом можно использовать пробелы внутри логина, перед логином, после логина, только пробелы, и опять логиниться с каждым. Потом делать логины из русских букв, из арабских справа налево, из нордических, из японских иероглифов, из мультибайт характеров типа смайлов - опять логиниться с каждым
так определите что работает что не работает. занесете баги, что-то починят, что-то запретят вводить через ЮАЙ
следующий шаг это может быть тестирование через РЕСТ АПИ, ведь пользователи могут просто регистрироваться через него, чтобы обойти например ограничения в ЮАЙ
еще надо проверить что 3 уровня аппликации: юай, рест апи и база данных одинаково понимают минимумы и максимумы, и ограничения по разрешенным символам тоже. Пример ошибки(может не совсем точный, но зато правда): в форме регистрации нового пользователя логин ограничен 10ю символами, в форме входа логин ограничен 8ю символами, в рест апи можно слать 12 символов при регистрации, вход через рест апи ограничен 14ю символами, при посылке 15ти символов(ну или 5000 символов) база возвращает эксепшн вместо ошибки про длину, либо тримит логин. Сразу видно что в примере бардак, так быть не должно