Pues depende del valor de lo que se proteja. Por lo general una contraseña debe tener unos 8 caracteres alfanuméricos, o sea, letras y números.

Refinando más se puede exigir que al menos uno sea un carácter especial tipo "/", "&", "?" etc

Y Refinando más se puede exigir que alguna letra sea en mayúsculas.

También es habitual obligar al cambio de contraseña cada cierto tiempo y no permitir usar alguna de las anteriores.

Yo no conozco ningún programa que detecte contraseñas débiles o no. LO normal es que en las pantallas de creación de cuentas, se haga una validación EN EL LADO DEL SERVIDOR sobre la calidad de la contraseña. LA validación no debe hacerse en el lado del cliente porque se puede saltar fácilmente.

Algunos sistemas operativos tienen herramientas propias para garantizar una política adecuada.

Un saludo
Hooker