Gli algoritmi più completi che ho visto assegnano dei punteggi (arbitrari e scelti dal programmatore) a seconda che si verifichino o meno delle condizioni
- numero di caratteri superiori a un certo valore
- presenza di lettere maiuscole e minuscole
- presenza di numeri
- nessun carattere adiacente duplicato ('aaa')
- presenza di caratteri speciali (&%$£...)


Twitter poi utilizza una blacklist di password ritenute semplci e che loro vietano (123456, abcdef, pippo...)