Adendo: obrigar 1 caracter maiusculo, 1 especial e 1 numero só facilita ataques de força bruta.

além disso, a força da senha é menos importante do que um throttling bem implementado.

é só ter como exemplo bancos, que na sua maioria usam senhas "fracas" (6 digitos), mas que não perdoam caso você erre 3x. 

tem alguém mais interessado em segurança do que um banco? rs

Mas ai tem um detalhe, se a houver um ataque ao bd e copiarem, tentarão força bruta e pequenas senhas serão fácilmente descobertas. 

Ainda mais se for como a galera anda fazendo com placa de vídeo, esses dias eu vi que uma senha com 8 caracteres alfanuméricos é um tempo ridículo para força bruta com gpu, de tão pouco tempo que é.

Adendo: obrigar 1 caracter maiusculo, 1 especial e 1 numero só facilita ataques de força bruta. além disso, a força da senha é menos importante do que um throttling bem implementado. é só...

Adendo: obrigar 1 caracter maiusculo, 1 especial e 1 numero só facilita ataques  · eliaseas

Na verdade, escrever regras de senha por si só...