O tamanho é a melhor protecção contra brute force. E a partir do momento em que se use um gestor de passwords, a diferença entre 8 caracteres e 100 é praticamente invisível.
Mas o que me agrada nas regras é que é bastante mais fácil seguir regras de tamanho do que regras de combinações de caracteres (que por vezes obrigam a caracteres especiais, mas só alguns), e acaba-se a treta das passwords expirarem a cada N meses sem motivo para tal (há certamente cenários em que faz sentido rodar passwords, mas não como política default).
Quanto ao MD5, há outras recomendações no texto, que tocam nessa parte 🙂 (quem usa MD5 não é propriamente seguidor deste tipo de recomendações).
Não sei exactamente em que contextos a MS está a preferir PINs, mas parece-me uma solução aceitável para quando também há hardware que possuis envolvido (pc, telemóvel, FIDO key, smart card, etc.). Mas diria que a preferência é mais por autenticação de dois factores (PIN, mais algo físico que se possui), do que por PIN.