Я технический человек и понимаю аргумент, приведенный в вопросе. Но прежде чем я приму эти аргументы, чтобы заявить о ненадежности системы хранения паролей, прошлой или настоящей, мне нужно убедиться, что когда 28 символов ASCII были приняты, пароль, введенный с ошибкой после 20й персонаж получил отказ. Если нет, вполне возможно, что с момента создания только первые 20 символов пароля были значимыми, и теперь это ограничение применяется, а для остальных пароль был и хранится правильно хешированным паролем.
Даже тогда я не буду убежден, "что пароль является хранится в открытом виде». Вполне возможно, что пароль теперь хранится в правильном хешированном виде с преобразованием из старого формата в новый, когда пароль или его первые 20 символов впервые используются в новой системе. плавное преобразование из старого в новый формат пароля является стандартной процедурой.
Я даже не буду убеждаться, что пароль был хранится на равнине.Вполне возможно, что пароль хранился в зашифрованном виде с помощью обратимого шифрования и какого-то секретного ключа. Это не было бы правильным хешированием пароля, но все же лучше, чем «в обычном режиме» (и даже вполне удовлетворительным, если расшифровка и обработка пароля происходит только в безопасной среде, такой как HSM).
Я не говорю, что нельзя использовать "джедайские уловки разума" и убедить в чем-то юридическое лицо, как это было сделано при сертификации самолета. Но это то, что я не одобряю. К тому же это не по теме.