Hallo,

Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

Wurden die dem Fragesteller mitgeteilt? Wollen wir sammeln?

Das ist ein Gegenstand der akademischen Forschung. Da ich weder Informatiker noch Security-Experte bin, kann ich nur auf vorhandene und empfohlene Algorithmen/Implementierungen verweisen. Ich rate Entwicklern, die nicht wissen, dass Passwörter gehasht gespeichert werden sollen, auch nicht dazu, solch ein System selbst zu entwerfen und zu implementieren.

Das allgemeine Prinzip der Entropieberechnung habe ich ja schon genannt.
Überblicksartikel: http://en.wikipedia.org/wiki/Password_strength
http://cubicspot.blogspot.de/2011/11/how-to-calculate-password-strength.html
https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
https://github.com/dropbox/zxcvbn
http://blog.agilebits.com/2011/08/10/better-master-passwords-the-geek-edition/

Es gibt eigentlich für jede Web-Sprache eine entsprechende Implementierung, wobei clientseitiges JavaScript (Anzeige im Registrierungs- bzw. Passwort-ändern-Formular) ein guter Anfangspunkt ist. Wie strikt man dann serverseitig prüfen will, bleibt einem überlassen.

Mathias