Un rapport de test Pen approprié, complet et professionnel doit inclure tous les résultats en détail. Il devrait énumérer non seulement comment ils sont arrivés à leurs conclusions, mais aussi les méthodes qu'ils ont utilisées et éventuellement des captures d'écran de leurs preuves. Sinon, vous pouvez demander plus de détails et ils sont tenus d'expliquer ou de fournir les détails.
Cela dit, sans plus de détails, je pense que ce qu'ils pourraient faire est de trouver la politique de mot de passe en général, et sur la base de cela, ils conseillent de la changer ou de l'améliorer, s'ils pensent qu'elle est faible ou incomplète. Même dans ce cas, ils ne peuvent pas et ne doivent pas supposer qu'un mot de passe utilisateur donné est faible uniquement à cause de cette politique. Des mots de passe complexes ou forts peuvent encore être créés (dans certains cas) même avec une politique de mot de passe pas si forte.
La plupart des faiblesses se produisent lorsque l'utilisateur choisit un mot de passe faible, quelle que soit la politique de mot de passe en place.