Wo finde ich in der Apachekonfiguration die Länge der Passworte, die überprüft werden.

Die Frage ist, wie denn die Passwort-Hashes erstellt werden. Offenbar wird htpasswd -d verwendet, wofür das Manual eine maximale Länge von 8 Zeichen angibt. Der Rest wird vor dem Hashen mit crypt (sha1) abgeschnitten, was zu dem von Dir beschriebenen Verhalten passt.

Das dieses Verfahren unsicher ist sagt das Handbuch explizit aus.