私の勤め先でも、あんまり厳しくしてないです。
８文字以上、英数混在、有効期間は１８０日（半年）くらいでしょうか。

あんまり厳しくすると、パソコンにパスワードを書いた付箋を貼ったりするので、適度の緩くしています。

規程で
・最低６文字最大１４文字、通常8文字以上のものを用いる。
・数字と英文字を混在させる。
・小文字と大文字の混在を推奨する。
・ ! @ # $ % ^ & * - _ + = [ ] { } | \ : ' , . ? / ` ~ < > ( ) ; から1文字以上混在させることを推奨する。
・ユーザIDと同じものや、名前、電話番号、誕生日などを避ける。
・辞書に載っているような単語は避ける。
・過去に使ったパスワードと同じものを使わない。
と謳ってあるのですが、ポリシーは文字数以外は設定されていないようです　なので「zzzzzz」でも通ってしまいます。　「ちゃんと設定しろ」というのですが現在の担当は無視しています。　期限があったはずですが180日以上経った今でも”パスワードを変えろ”って出ないですね（どうしているんだか？）

＞＞ ! @ # $ % ^ &amp; * - _ + = [ ] { } | : &#039; , . ? / ` ~ &lt; &gt; ( ) ; から
あらら　特殊記号は　文字化けちゃいますね　すみません

そもそも　記号の幅が広すぎだな　アポストロフィ　と　アクセント　と　シングルコーテーション　と　チルダ　と　アクサンシルコンフレックスの区別がつくかね　エンサインもいれているがPCによってはインバーススラッシュに化けちゃうよね

ちょっと前では申請されたパスワードを情シスがExcelの表にしてそこからバッチ処理を作ってやっていたので、いじわるで「=A21&b12」ってやったら案の定　セルA21の値とセルB12の値の連結したものになった　当然、「”パスワードが違う”と言われた何とかしろ」と要求したらExcelの表を見て「間違っていない」と言い張るので、「申請書を見てみろ」と言ったら「あっ 違っている なぜだろ？」って。「おまえなぁ 情シスなら一目で見抜けよ　精進が足りねえな」　って言ってやった。　

（本筋と外れるので参考まで）
うちは個人認証用のICカードを導入しているので、個人にパスワード管理させていません。
しかし、個人認証システムの管理工数が発生しています。…結構面倒です。
また、人によってはICカードを刺しっぱなしで離席したり退社したりする方もいますので、
（パスワードを書いた付箋を貼る人と同様に）セキュリティをしっかりするには人への
教育が必要ですね。

すみません、覚えてる限りですが、
・7文字or8文字以上
・英数大文字混在
・60日でパスワード変更だったような
・無操作で10分or5分でロック
こうみるとカチカチな気がしますが実際そんなことないです。
ITリテラシーが低いからこそシステムで制御できる部分は補っていった方がいいと思います。

大文字、小文字、数字、記号混在
文字列長が１０文字
有効期限は１８０日
１５分でスクリーンセーバー
結構厳しい目ですが、有効期限が１８０日と長く取ってるので我慢してねとみなさんに理解してもらって運用してもらってます。

皆さんとほぼ一緒ですね
うちは八文字で30分のロックです。

でもそろそろパスワード運用は止めて顔認証を使おうかと…
結局リテラシーうんぬんより教養に問題あるのが多くて(泣)

基本的にパスワードは以下のルールです。
・７文字以上
・数字と英字をふくむ
・９０日上限で変更
・４世代前までと同じものは使用不可
・特定端末は多要素認証強制

セキュリティ規格適用の為、強制です。
上からの全社方針なので、否応無し。
自社もリテラシーが低い社員が多いのですが、割と素直なのが救いです。

皆様、情報ありがとうございました。
皆様の会社のポリシーを参考にしつつ

強度とパスワードが貼られない事を両立させる適度なポリシーを制定したいと
思います。