Si la amenaza es que alguien pueda robar o adivinar su contraseña y luego acceder a sus datos, se puede mitigar de varias maneras. Creo que, por ejemplo, Google comprueba la ubicación y el dispositivo que intenta registrarlo, y si detectan algo inusual (como registrarse desde una región diferente), bloquean el acceso y hacen una pregunta de seguridad o lo obligan a usar 2FA. También intenté crear una cuenta en Google y no me permiten usar una contraseña simple como "123" (se requieren 8 caracteres, etc.). También estoy bastante seguro de que limita los intentos en caso de que alguien quisiera adivinar tu contraseña, aunque no lo he intentado. Como puede ver, Google intenta mitigar esta amenaza. Forzar a un usuario a cambiar las contraseñas con regularidad puede no ser útil en absoluto, si considera que otras medidas de mitigación ya están implementadas y que el hecho de forzarlas para cambiar las contraseñas suele ser una molestia para el usuario.
Sin embargo, si un servicio (Google, Facebook, lo que sea) permitiera a los usuarios iniciar sesión con contraseñas muy débiles como "123", creo que sería una mala práctica que realmente pondría a los usuarios en riesgo, incluso si otros Se implementaron formas de mitigar la amenaza. No sería aceptable. No he comprobado si algún servicio importante lo permite, espero que no. No sé si algo de esto puede considerarse "ilegal" o no, de todos modos. Todo lo que puedo decir es que en la Unión Europea, el GDPR (Reglamento general de protección de datos) dice que debe tomarse en serio la protección de datos cuando procesa datos personales.