Ich habe noch nirgends erlebt dass diese Regeln sinnvoll angewendet werden. Die Nutzer suchen sich ein einfaches Passwort was gerade so die Regeln erfüllt und inkrementieren dann immer eine Zahl oder ähnliches. Außerdem werden die Passwörter notiert usw.
Wählt ein sinnvolles Level an Komplexität, Dokumentiert die Regeln klar und deutlich und verlangt eine Änderung höchstens 1 mal im Jahr dann funktioniert das auch.