MV
2. Даже если СММщик чего-то не понял, то тут уже встает вопрос доверия. У меня нулевое доверие к квалификации "безопасников" у которых пароли caseinsensitive.
3. И у которых верхнее ограничение на пароли в 30 знаков.
4. Ну и сама цифра "30" знаков может намекать на то, что это просто размер поля в базе данных, где в чистом виде хранятся пароли.
5. Т.е. в этом случае презумция невиновности не работает и пока они сами не докажут что у них всё нормально (в т.ч. с хешами), полезнее всего предполагать некомпетентность и разруху.