Ich würde das eher nicht als Sicherheitslücke einstufen, eher als fehlendes Feature. Sobald ein Angreifer lokalen Zugriff hat, ist ohnehin alles verloren. Man kann die Datenbank kopieren und auf einem eigenen System mit Millionen Versuchen pro Minute versuchen zu knacken und bei der Komplexität des durchschnittlichen Passworts geht das ganz flott.