A parte le solite strpos, preg_match etc. non ti converrebbe creare una funzione di normalizzazione, oppure creare una funzione che utilizzi una whitelist per verificare la validità della password

P.S.
Per quale motivo non vuoi permettere l'utilizzo di caratteri "speciali"?