Se la minaccia è che qualcuno possa rubare o indovinare la tua password e quindi accedere ai tuoi dati, allora può essere mitigata in vari modi. Penso che Google per esempio controlli la posizione e il dispositivo che tenta di registrarlo e, se notano qualcosa di insolito (come l'iscrizione da una regione diversa), bloccano l'accesso e fanno una domanda di sicurezza o obbligano a utilizzare 2FA. Ho anche provato a creare un account su Google e non mi permetteranno di usare una password semplice come "123" (sono necessari 8 caratteri, ecc.). Sono anche abbastanza sicuro che limita i tentativi nel caso qualcuno volesse indovinarla, anche se non l'ho provato. Come puoi vedere, Google cerca di mitigare questa minaccia. Costringere un utente a cambiare le password regolarmente potrebbe non essere affatto utile, se si considera che altre mitigazioni sono già implementate e che essere costretti a cambiare le password è spesso considerato un problema da parte dell'utente.
Tuttavia, se un servizio (Google, Facebook, qualunque cosa) consentisse agli utenti di accedere utilizzando password molto deboli come "123", ritengo che sarebbe una pratica così negativa che metterebbe a rischio gli utenti, anche se altri sono stati implementati modi per mitigare la minaccia. Non sarebbe accettabile. Non ho controllato se alcuni servizi importanti lo permettano, spero di no. Non so se tutto ciò possa essere considerato "illegale" o meno, comunque. Tutto ciò che posso dire è che nell'Unione europea, il GDPR (Regolamento generale sulla protezione dei dati) afferma che è necessario prendere sul serio la protezione dei dati quando si elaborano dati personali.