"nutíte tak uživatele, aby si nejdéle za rok nastavili slabé heslo".
No to asi ne, pokud máte v interním pravidlu nutnost mít kromě minimálního počtu znaků i požadavek na použití malého i velkého písmena, použití číslice a použití nějakého speciálního znaku. Plus např. doporučení, aby heslo neobsahovalo žádné známé jméno či název.
Pak vám nikdo slabé heslo vytvořit nemůže, protože ho to při změně neakceptuje.
Máme to tak určené v naší korporaci (60 tis. zaměstnanců všude po světě), platnost každého hesla 3 měsíce a server si pamatuje minimálně posledních 5 hesel, které nedovolí opakovat.