O seu CTO tem mais razão, mas é uma questão mais complexa. O NIST ( link ) é provavelmente a referência de "melhores práticas do setor".
Quando se trata de comprimento de senhas, não complexidade ou mudanças freqüentes, é o caminho a percorrer. ( link ) Eles sugerem frases ou frases, em vez de uma única palavra.
Você descreve as senhas de hashing antes de armazená-las, o que é a alternativa logicamente melhor que o texto sem formatação. O problema é que com sistemas multi-gpu, dezenas a centenas de hashes podem ser calculados e verificados por segundo.
Os links abaixo discutem as mudanças. Eu sugiro que você preste atenção especial às senhas salgadas antes que elas sejam criptografadas.