Con frecuencia me encuentro con preguntas sobre los motivos de las políticas y restricciones de contraseña ( Ejemplo 1 , Example2 ), el ejemplo más sencillo son las restricciones de longitud máxima. El consenso generalizado es que estas políticas son casi totalmente malas y / o indicaciones de una mala gestión de contraseñas entre bastidores.
Sin embargo, varias compañías importantes para las que tengo nombres de usuario / contraseñas todavía tienen estas políticas de contraseña. Me preocupa, en particular, porque varias de estas empresas conservan o transmiten dinero.
Entonces: independientemente de por qué una compañía en particular tiene estas malas políticas, ¿hay alguna manera de que una compañía, a veces una gran corporación lenta, pueda actualizar su administración de contraseñas?
Estoy buscando métodos o rutas concretas para usar (¿acaso estas compañías corren el riesgo de violar las leyes de protección al consumidor? ¿pueden encontrar sus departamentos de TI y entrevistarlos en una conferencia de seguridad?), no respuestas vagas como "iniciar un movimiento de Facebook para ridiculizarlo públicamente la empresa ".