On m’oppose PCI-DSS alors je suis allé vérifier (les certifications sont parfois obligées de mettre des règles fixes simples, donc ça aurait été une contrainte possible pour ceux qui ont besoin de cet agrément).

La v3.2.1 impose 7 caractères (seulement?) dont au moins un alphanumérique et un numérique.

Si on se contente de prendre ça au pied de la lettre, on nous impose effectivement d’ajouter des chiffres mais rien ne parle de forcer des symboles ou même de majuscules/minuscules.

Mais surtout PCI-DSS accepte explicitement la notion de « equivalent strength » basée sur un calcul d’entropie, c’est à dire… exactement ce que je fais dans mes calculs.