Baue lieber eine Logik, die die Komplexität des Passworts beim Anlegen misst und gute Vorschläge gibt, wie User sichere Passwörter/Passphrases erstellen. Dann setze alle Passwörter zurück, d.h. sende allen Usern einen Reset-Link und bitte sie, ihre Passwörter zu ändern. Schwache Passwörter werden vom Formular dann nicht mehr akzeptiert.

Omg nein! Bloß nicht. Nichts ist schlimmer als diese Bewertungsmechanismen, am besten noch mit so Vorgaben wie "mindestens 8 Zeichen, ein Sonderzeichen (aber nicht am Anfang!) mindestens eine Ziffer, keine zwei hinterneinanderfolgenden gleichen Zeichen, mindestens ein Buchstabe...".
Ich hasse es. Ich will mein Passwort selbst festlegen. Und wenn ich entscheide, dass abcde reicht - dann reicht es. Das einzige Problem ist, wenn tatsächlich jemand Zugriff auf die Passwort Hashes kriegt, kann her abcde mit brute force relativ schnell knacken. Dann bin ich aber selbst schuld und fertig.

Vorschläge kann man ja machen "Warnung, das Passwort ist sehr unsicher! (...)", aber keine Akzeptanzkriterien bitte.