Ne andere Sichtweise.

Ein Passwort das der Nutzer direkt verwenden muss, würde ich nicht mit Leerzeichen trennen. Das verhindert das kopieren des Passworts, was sicher einige tun werden.

gebe aber ein paar Tage Zeit hierzu.

Ich würde im Gegenteil festlegen dass das Passwort sofort geändert werden muss bevor der Nutzer irgendwas in seinem Account tun kann.
Normalerweise will man sich sofort einloggen, dann gleich ein neues Passwort setzen dauert doch nicht lange.
In diesem Fall könnte man auch mit einem viel weniger aufwendig generierten Passwort leben. Ein 15-stelliges Passwort mit diesen ganzen Regeln ist doch zu schade, um nach einmaliger Nutzung durch was viel simpleres ersetzt zu werden 😀