Эх, доброта моя...Думаю, требуется пояснение для программистов.
Начнём с простого. Пусть политика паролей допускает только пароли длинной в один символ и состоящие только из 0 или 1. Очевидно, что существует всего два пароля, удовлетворяющих такой политике: 0 и 1.
Возможна и другая политика паролей, допускающая всего два пароля, и следовательно такую же сложность подбора. А именно политика, разрешающая пароли длиной 1–2 символа и состоящие только из 0 (или любого другого символа).
Теперь пусть разрешены пароли длиной 1–2 символа, состоящие из чисел 0–9. Таких паролей всего 110 штук. Политика, допускающая только один символ (например, 0), должна разрешать пароли длиной до 110 символов. Важно, что она не будет «настаивать» на использовании других цифр. Цифры — это не плохо, но в реальности недалёкие «политики» трахают мозг спецсимволами, заглавным буквами и т. п.
В реальности же пароли, как правило, не ограничены длиной сверху, поэтому отсутствие злоебучих символов легко компенсировать удлинением пароля, вплоть до того, чтобы оставить один единственный символ, а всю энтропию загнать в длину пароля.
То есть, имея охеренный, легко запоминающийся, сложно подбираемый пароль, вы можете получить от тупой политики по лицу за «слабый» пароль только потому, что в вашем пароле нету запятой.
Вероятно, единственным рабочим критерием надёжности пароля является энтропия, поэтому нормальная политика должна проверять только её, а не длину пароля и присутствие обязательных типов символов.