Creo que la aplicación de restringir a los usuarios para reutilizar las contraseñas dependerá en gran medida de la aplicación y su aceptación del riesgo. Las "mejores prácticas" de contraseñas son probablemente uno de los temas más divisibles en Seguridad de la información, y es probable que la razón por la que esas hojas de trucos no lo mencionan.
Para las organizaciones que tienen una política de contraseña que requiere que los usuarios cambien su contraseña cada X días, restringir al usuario de cambiar su contraseña a algo que ya ha tenido sentido. La lógica detrás de esto es que obligar a los usuarios a cambiar su contraseña regularmente reduce la posibilidad de que una contraseña antigua, si se encuentra comprometida, pueda usarse en un ataque de Repetición de contraseña.
Con una política de este tipo, es probable que se establezca un valor de "Contraseñas recordadas". Esta política recordará el número de contraseñas X de los usuarios anteriores para garantizar que cumplan con la política de contraseñas y no reutilicen contraseñas antiguas. La reutilización de contraseñas antiguas efectivamente inutilizaría la política de contraseñas. Es en este caso que desearía forzar a un usuario a establecer una nueva contraseña si está haciendo clic en la opción "contraseña olvidada". Sin obligarlos a hacerlo, un usuario podría usar la función de "contraseña olvidada" en su aplicación para asegurarse de que siempre pueda tener la misma contraseña, sin verse obligado a cambiarla por algo nuevo.
Yendo un paso más allá, también es común que haya un tiempo de "congelación" de contraseña donde los usuarios no pueden cambiar su contraseña por X días después de que se modificó. Esto es para evitar que las personas pasen rápidamente por 3 contraseñas cambiadas para poder utilizar la que les gusta. De esta manera, si la contraseña que le gusta a un usuario caduca, no pueden cambiar rápidamente su contraseña X para volver al que más le guste.
EDIT: tome de esto lo que quiera, pero NIST ha emitido una guía recomendando en contra de políticas de contraseña que requieren que los usuarios cambien sus contraseñas.