Пришла тут от заказчика просьба поправить правила проверки стойкости пароля

password security — additional rules:
....
Non-numeric in first and last position.
.......

Им это какая-то контора посоветовала, занимающаяся аудитом. Но тут, на мой взгляд, явное сокращение перебора.

Или где-то собака порылась и я не прав?