Ein angemessener, vollständiger und professioneller Pen-Testbericht muss alle Ergebnisse detailliert enthalten. Es sollte nicht nur auflisten, wie sie zu ihren Schlussfolgerungen gekommen sind, sondern auch, welche Methoden sie verwendet haben, und möglicherweise Screenshots ihrer Beweise. Wenn nicht, können Sie weitere Details anfordern und diese sind verpflichtet, die Details zu erklären oder anzugeben.
Trotzdem glaube ich, dass sie ohne weitere Details die Kennwortrichtlinie im Allgemeinen finden und darauf basierend raten können, sie zu ändern oder zu verbessern, wenn sie glauben, dass sie schwach oder unvollständig ist. Selbst dann können und sollten sie nicht davon ausgehen, dass ein bestimmtes Benutzerkennwort nur aufgrund dieser Richtlinie schwach ist. Komplexe oder sichere Kennwörter können (in einigen Fällen) auch mit einer nicht so starken Kennwortrichtlinie erstellt werden.
Die meisten Schwachstellen treten auf, wenn der Benutzer ein schwaches Kennwort auswählt, unabhängig von der geltenden Kennwortrichtlinie.