Credo che sia certamente appropriato impostare restrizioni sulle password. Ma dipende da cosa stai cercando di proteggere!
A seconda di quali informazioni il tuo sito (e il suo sistema di autenticazione) sta proteggendo. Potresti riuscire a superare le limitazioni di impostazione per:
min_length = 6 e non scadono mai. Pur non richiedendo alcuna forma di caratteri speciali.
Ma se il sito contiene informazioni veramente sensibili dovresti stabilire restrizioni molto stringenti.
Le impostazioni di sicurezza del tuo sito devono essere commisurate all'importanza dei dati che stanno proteggendo.
Detto questo, puoi andare lontano. Richiedere una password lunga 32 caratteri e forzare una modifica ogni 10 giorni sta per diventare utente di rabbia, incoraggiarli a scrivere la password in basso o forse a non preoccuparsi nemmeno di usare il sito (trovare qualcos'altro) ..
In sintesi - L'ultima raccomandazione che ricordo di aver letto (non ho un link per te) era di almeno 12 caratteri con almeno un numero o un carattere speciale. Inoltre, considera l'implementazione di un sistema che disabilita un account per un determinato periodo di tempo (30 minuti, 2 ore, qualunque sia) dopo la quantità x di accessi non riusciti.
spero che questo aiuti ..