Ci sono state molte discussioni sulle policy delle password, ogni volta che emerge una domanda come questa, inserisco sempre prima l'obbligatorio XKCD: link
Ma per rispondere alla tua domanda: dipende.
Se vuoi impedire agli utenti di usare le parole del dizionario, puoi seguire le regole che hai proposto. Ma preferisco suggerire agli utenti un testo come: "Non usare le parole esistenti come password" nella forma della password.
Quando vuoi impedire alle persone di riutilizzare le loro password: suggerirei di aggiungere un suggerimento al modulo della password. "Non scegliere mai una password che usi da qualche altra parte" invece di provare a creare combinazioni di regole che non vengono utilizzate da nessun'altra parte.
Infine, quando si sta tentando di "aumentare" la "sicurezza" di una password contro il brute force cracking: la lunghezza è l'unica cosa che conta davvero. Infatti: con un set di regole per la composizione della password, il cracker può persino escludere una grande porzione di combinazioni, quindi stai solo rendendo la password più debole da quella prospettiva.
I would like to replace "Minimum 1 letter (any case)" with "Minimum 1 Uppercase letter".
Ciò renderebbe un po 'più difficile l'attacco di un dizionario, ma il 99% delle persone metterà in maiuscolo la prima lettera e un buon strumento di cracker lo userà a proprio vantaggio.
Ancora: ci sono molte discussioni sull'argomento, questi sono solo i miei 2 centesimi. Lo odio quando sono costretto a fare in modo che il mio gestore di password faccia qualche stupida eccezione per soddisfare un complesso insieme di requisiti.
Al posto dello slittamento delle biciclette rispetto ai requisiti, assicurati che le password siano archiviate in modo sicuro. Usa un hash strong e sale.