企業がハッシュを適切に保護し、認証システムに対するブルート フォース攻撃を防ぐことができるのであれば、なぜパスワードに強度が必要なのでしょうか?
誰かがハッシュを取得できず、総当たり攻撃もできない場合、パスワードは比較的安全ですよね?
もちろん、簡単な答えは「そうですが、ハッシュは常に安全に保たれているわけではありません」です。しかし、ビジネスの観点から見てください。ユーザーに強力なパスワードを保持することを要求する場合、基本的に、ハッシュの保護とブルート フォース攻撃の防止の両方を行うことはできないことを認めています。つまり、ユーザー自身の失敗に対してユーザーに責任を負わせているのは会社ですよね?