Как тестировать password policies?

Password policy testing: минимальная длина (обычно 8-12 символов), требования к сложности (буквы + цифры + спецсимволы), максимальная длина (иногда разработчики забывают и bcrypt обрезает до 72 байт), проверка на common passwords (password123 должен быть отклонён), историчность (нельзя использовать предыдущие N паролей), blacklist скомпрометированных паролей (HaveIBeenPwned API). Lockout: после N неудачных попыток. Сброс пароля: ссылка одноразовая, с истечением срока.