Ich würde in jedem Mißbrauchsfall ein "erzieherisches" Zwangspasswort einführen, etwa
"ich_gelobe_nie_wieder_mein_passwort_zu_vergessen"und den nutzer so zwingen, es zumindest einmal einzutippen, um es ändern zu können.
Es kommt darauf an, einen Regelkreis zu erzeugen: Wer Mist macht, kriegt Mist.
Solche symbolischen Handlungen reichen meiner Erfahrung nach völlig aus. Wichtig ist, die neuen Passworte situations. und personengerecht zu wählen.
Gruß pv