No diría que es más fácil de usar. Personalmente, quiero recordar menos personajes, pero también odio los límites artificiales que me imponen. Un enfoque más interesante podría ser calcular la entropía de una contraseña de usuario y simplemente requerir una cierta cantidad de entropía.
Si el usuario no ingresa nada que no sea letras minúsculas, requeriría la mayoría de los caracteres. Si incluyen mayúsculas, números o puntuación, cada una de esas clases de caracteres se aplicará a la longitud de la contraseña para determinar la cantidad de entropía.
Esto dejaría al usuario decidir si desea tener una contraseña alfabética más larga o una contraseña más corta y compleja. La única cosa adicional que necesitaría almacenar para dicho sistema sería una marca que indique que la contraseña no distingue entre mayúsculas y minúsculas si se utiliza el mismo uso de mayúsculas para toda la contraseña. Luego podría hacer una cadena más baja si el indicador está establecido para garantizar que las futuras entradas se procesen de la misma manera.
Tiene el inconveniente de hacer que sea menos obvio lo que se debe hacer, pero aún podría crearse un mensaje de error detallado, como por ejemplo, "Su contraseña aún no es lo suficientemente segura, para hacer que su contraseña sea más segura, considere agregar 3 signos de puntuación, 1 letras mayúsculas, 2 números, 6 letras minúsculas más, o pruebe con un subconjunto de estos. Asegúrese de distribuirlos a lo largo de la contraseña ". Esto le permitiría al usuario conocer ejemplos de lo que se debe agregar para obtener suficiente entropía.
También tiene la desventaja de que es probable que los usuarios solo los agreguen al final, lo cual es menos seguro que si estuvieran extendidos, pero el problema de los usuarios que eligen contraseñas malas es tan antiguo como la seguridad de la información.