Il sistema, al momento della modifica della password, accetta anche quella vecchia. Credo sarebbe più opportuno non permetterlo.
Non avete mai pensato ad un sistema di generazione casuale della password inviata via mail al nuovo iscritto? Direi un sistema tipo WordPress che mi sembra molto efficace specialmente in presenza di autoiscrizione.
Ciao, Claudio

Ciao, c'è una voce di configurazione che dice così (principale-configurazione-configurazione-utente)

Chiedi all'utente di scegliere una nuova password diversa dalle ultime X password che ha usato