mozna spatne "pocitam"

Ne, jenom špatně čtete. V citaci jste k sobě spojil dvě věty, které popisovaly dva různé případy – jeden, kdy se přihlásím až po expiraci hesla, a druhý, kdy se přihlásím těsně před expirací hesla a příště zase až za čtvrt roku, tedy od změny hesla k její další změně uběhne skoro dvakrát čtvrtrok, což je skoro půlrok.

nicmene je jiste ze ty nepochopis ze !problem! nikoliv "problem" ma s tim, ze misto vychozich 90dni by prave chtel ten 1/4 rok, resp. radji +1 den, takze 92dni...

Což by ovšem zase nevyhovovalo uživatelům webového rozhraní, protože by se přihlásili za čtvrt roku, ten den by to heslo bylo ještě platné, takže by se nic nedělo. Heslo by expirovalo teprve další den, a na jeho změnu by se čekalo dalšího čtvrt roku, než se uživatel zase přihlásí. Ne že by to něčemu vadilo z hlediska bezpečnosti, ale nebyl by zachován ten původní smysl expirace hesel.

Jak jsem psal výše, problém je ve skutečnosti v tom, že se jinak chová API a jinak webové rozhraní. API má možnost zjistit dobu platnosti hesla a termín expirace je konečná, po něm už se přes API nejde přihlásit. Období pro změnu hesla je před expirací. Web to má naopak, termín expirace můžete zjistit někde zastrčený v nastavení, ale jinak platí, že termínem expirace hesla to teprve začíná, v tom okamžiku teprve začnete být upozorňován na nutnost změny. Období pro změnu hesla tedy začíná běžet až po termínu expirace. No a když ta lhůta funguje jinak pro API a jinak pro web, je logické, že není možné najít jednu lhůtu, která by fungovala pro obojí.

Každopádně vůbec nechápu, k čemu je dobré mít zapnutou expiraci hesla, zvlášť když nepoužíváte web, ale aplikaci.