Sensacional meu caro! Acho muito estranho sites que não aceitam senhas maiores que 8 caracteres... aqui no TabNews isso é um requerimento mínimo 🤝 por outro lado, por enquanto não obrigamos caracteres especiais, nem qualquer outra regra.

E idéia muito peculiar essa do tempo de expiração, obrigado por trazer aqui. Em paralelo, já li em muitos lugares que expirar as senhas não é uma boa prática, pois isso acaba fazendo o usuário sempre usar as mesmas, mas com um caractere de diferenciação no final, os mais comuns sendo coisas como ! ou @. Pelo menos em lugares que periodicamente forçam isso, o que é diferente da sua ideia.

Bom, no final das contas acho que só existe uma boa proteção para isso que é um segundo fator, algo tão simples quanto um OTP já barraria o acesso, por mais que a pessoa tenha usado uma senha já vazada e comum.