A questão básica é que as senhas, como um mecanismo de segurança, fede.
Se você pedir às pessoas para mudá-las com frequência, elas as anotam. Se você pedir que eles usem senhas de 30 letras com pelo menos 3 números, 4 letras maiúsculas e um caractere de controle, eles os esquecem ou escrevem ou fazem outras coisas bobas. Se forem simples, os usuários usarão senhas estúpidas como bunny7 ou Bunny7. E eles usarão a mesma senha incorreta para tudo, incluindo a conta pornográfica e a conta do hotmail.
Eu gosto de ferramentas como Mobile OTP , que permitem que os usuários usem o celular como uma ferramenta de autenticação de dois fatores.
No longo prazo, é provável que, de alguma forma, chegaremos a um mundo com certificados criptografados como o mecanismo de identificação do usuário. Coisas como OpenID e CAS simplificam a autenticação do usuário e permitem signon único conveniente.
A longo prazo, a melhor aposta é reduzir o número de vezes que os usuários precisam emitir credenciais - livrar-se da senha "HR", da senha "time-sheet" e da senha "CRM". Unifique-os em uma infra-estrutura de autenticação comum que exige que os usuários emitam suas credenciais uma vez. Em seguida, faça-os usar algo como o MobileOTP ou um RSA SecurID que usa a autenticação de dois fatores.
A curto prazo, as políticas de senhas serão o tópico das guerras religiosas. Basta fazer o que seu chefe lhe pedir e, se você for o chefe, use seu julgamento com base em seu perfil de segurança esperado e na base de usuários.
Boa sorte!