Eu não vi o que ele considerou, mas existem outras que muitas usam e também não fazem sentido:

• Deve conter pelo menos 1 maiúsculo
• Deve conter pelo menos 1 minúsculo
• Deve conter pelo menos 1 algarismo
• Deve conter pelo menos 1 símbolo não letra ou algarismo
• Deve conter pelo menos x caracteres

Como é muito comum em vários sites então essas são consideradas boas regras.

Obviamente que alguns sites podem fazer algo assim, mas para a maioria dos casos não deveria colocar esse fardo para o usuário.

Um bom site gera uma senha ou deixa a pessoa gerar calculando a entropia, provavelmente vai dando feedback conforme a pessoa vai digitando a senha proposta até ficar em um nível aceitável.

Eventualmente pode dar dicas do que pode facilitar para ter uma senha mais curta ou mais fácil de assimilar sem comprometer a entropia, mas não aceitar por causa de regras específicas é ruim.

Lembrando que as melhores senhas são as longas, o resto importa muito pouco. As longas evitam também a pessoa reusar alguma informação fácil de obter, mas precisam ser muito longas para não ter nenhuma outra verificação.

Veja mais. E em inglês outra opção.

Melhor ainda não precisar de senhas, afinal existem bons fornecedores gratuitos de autenticação. Existem motivos para não usar, eventualmente, mas todos deveriam considerar um.

Farei algo que muitos pedem para aprender programar corretamente, gratuitamente. Para saber quando, me segue nas suas plataformas preferidas. Quase não as uso, não terá infindas notificações (links aqui).