Sim. Você terá problemas com auditorias PCI e auditorias federais se tiver clientes federais e outros tipos de auditores.
Mesmo que uma senha fácil de lembrar com 32 caracteres seja tecnicamente mais segura, os auditores não se importam - eles apenas têm políticas que exigem determinados requisitos de complexidade de senha, e eles entrarão em seu caso se você se desviar .
Por exemplo, minha empresa tem um auditor que exige explicitamente que os requisitos de complexidade de senha padrão do Active Directory (2008R2) sejam usados. Esses requisitos de complexidade de senha incluem limites, caracteres especiais, etc.
edit: Portanto, até que ocorra essa mudança de paradigmas na complexidade da senha, incentive seus usuários a usar um bom programa de gerenciamento de senhas como o KeePass, o LastPass ou qualquer outra coisa.