Bin ich auch drauf reingefallen. Die SU3 fragt das alte PW erstmal ab, um zu prüfen ob du auch wirklich du bist und nicht dein verscherzter Kollege, und frag dann 2*neu ab.
Und die Passwort regel ist tatsächlich Standard, ab 6.40 kann der Admin über Profilparameter angebenm wieviel Zeichen es denn sein müssen. Vorher war es fest codiert nur eines.