Ennek legvalószínűbb oka az, hogy a rendszer megcsonkítja a jelszavakat. Ennek a hipotézisnek az ellenőrzéséhez megpróbálhatja megváltoztatni a jelszavát valamivel hosszabbra, és megnézni, mi történik: felismeri a rendszer az "ezt a hosszú jelszót" "ennek a hosszúnak"? Ha igen, a rendszer határozottan csonkolja a jelszavakat. Ha nem, akkor komoly problémák merülhetnek fel a bemeneti hitelesítéssel kapcsolatban, amire a @Matthew rámutatott.
Bár a jelszócsonkolásra szükség lehet a régi rendszerekkel való együttműködéshez - amelyek a felhasználóneveket is csonkolják, lásd ezt a választ a Serverfault-on - általában kerülni kell, mivel csökkenti a "jelszóteret", vagyis a létrehozható egyedi jelszavak számát.
A támadók rengeteg erőforrást (időt, pénzt) spórolhatnak meg, ha tudják, hogy a célrendszerük csonka jelszavakat használ, mivel tudják, hogy nem kell a csonka hossznál hosszabb jelszavakat kipróbálniuk.
Bár a viselkedése nem tűnik számomra rosszindulatúnak, néhány szervezet nagyon érzékeny arra, hogy az emberek hibákat találnak a rendszerükben.
Ezért megpróbálhatja elmondani erről az egyetemének, de ne tegye. Ne hangsúlyozza túlságosan a tudását a lehetséges támadásokról. Csak annyit mondani, hogy "Olvastam, ez biztonsági kérdés jele lehet", rendben van. Ezenkívül ne állítson abszolút módon olyan dolgokat, mint "ez teljesen ésszerűtlen", mivel ennek oka lehet (jelszócsonkolás, nem pedig a helytelen bemeneti ellenőrzés).
Nyilvánvaló, hogy ne végezzen túl sok teszt, ne automatizálja a teszteket, és ne hajtson végre támadásokat.