El sitio de banca por Internet de mi banco aplica una política bastante extraña: no le permite establecer una contraseña que tenga nada más que dígitos. La única razón que puedo imaginar es que no están usando una función de hash de contraseña estándar de la industria como, por ejemplo, SHA-256, sino un reemplazo tonto de homebrew que funciona solo en dígitos. ¿Alguien tiene una mejor explicación? El mío es un tanto aterrador, en cuanto a seguridad.
Lo más probable es que estén considerando todas las formas de entrada del usuario (y necesitan que la contraseña funcione a través de otros modos, como en un cajero automático o por teléfono) y, por lo tanto, la limite a solo números. Por supuesto, la única forma de asegurarse es que respondan a esta pregunta, pero el escenario no es infrecuente con los bancos que han consolidado funciones bancarias remotas en una plataforma.
Edit: recuerdo una pregunta muy similar a esta en SE (creo que estaba aquí en seguridad) pero la búsqueda no está encontrando lo que estoy buscando ... ¿Alguien más recuerda?
Me imagino que no están utilizando un estándar de la industria. La función hash de contraseña como, por ejemplo, SHA-256
En una nota al margen, tenga en cuenta que las funciones de hash criptográficas de propósito general como SHA o MD5 no están diseñadas para el hashing de contraseñas. En realidad, son bastante malos en eso, sin importar la cantidad de bits de salida que produzca.
Más información: ¿Cómo hacer hash de forma segura las contraseñas?
Resumen actualizado (+ implementación del código): Cómo almacenar la contraseña de forma segura en 2016
Nota: Debería haberlo publicado en la sección de comentarios, pero no puedo, ya que todavía no tengo 50 reputación.
Lea otras preguntas en las etiquetas web-application password-policy