Есть ли нормы, госты, приказы по криптостойкости паролей, которые используют пользователи в организации

Есть закон о чего то там. Но он касается общеправовых направлений. И если ты его буешь читать, а не дай бог ещё и пользователь, то ни фига не поймёшь (закон как всегда: утверждаю, то сё пятое, дсятое. В приложениях куча непонятного простому пользователю)

Есть ещё закон о защите персональных даных пользователя.
Тут маза простая. Типа тут у нас есть персональные данные (да же если чел не работает с ними, в систему то он входит) . А вот что бы кто то что то не залез, у тебя пароль sdf5asd4fds[] а не 1234. Вот как хочешь так и запоминай.

А вообще такие вещи решаются проще.
Ты пишешь положени о безопасности информации в организации. руководитель налагает своё добро. И проблеммы нет.
Единственное, надо прописать всё красиво и хорошо.
Под это дело выбить у руководства сейф, любой самый простой (это для серьёзности) . В нём хранить логины и пароли отдельно каждый в своём конверте. Журнал изенения логинов и паролей.
По началу этот гемор на тебя весь ляжет, но если в своём руководстве ты пропишешь правила составления логинов и паролей, А ГЛАВНОЕ, правила восстановления забытого пароля, т. е. с заявления пользователя на имя генерального.
Генеральному объяснить что это не просто так (тот же закон о защите перс данных привести)
Что быон не просто подписывал заявление на смену пароля а ещё и спрашивал, ну как же так?? ?
После третьего - пятого раза ему надоест это и он вые... ет очередного.
Вот после этого все начнут помниь свои пароли

Главное, что бы генеральный понимал для чего это всё и относился к процессу серьёзно, а не "ты ответственный, тебе и решать. Будут проблемы - вые... у".

нету

Можно "продавить" нужное решение через руководство и установить стойкость локальным нормативным актом.