Supondo que você esteja usando pam_pwquality
(não está claro na sua postagem e difok
parece ser usado por uma variedade de módulos PAM diferentes por pesquisa na web), então root
pula este teste porque não há nenhuma senha antiga para comparar:
enforce_for_root
The module will return error on failed check even if the user
changing the password is root. This option is off by default which
means that just the message about the failed check is printed but
root can change the password anyway. Note that root is not asked
for an old password so the checks that compare the old and new
password are not performed.
Esta citação é da página pam_pwquality(8)
man em um sistema centos7.