Mouais…je reste toujours étonné de listes existantes concernant les X mots de passe les plus utilisés. Si ce sont des mots de passe, en général on les crie pas sur les toits! 
Merci pour l’info pour security.password.user.strength, c’est exactement ce que je cherchais. Je peux toujours forcer un mot de passe provisoire depuis la webadmin et envoyer un mail/sms aux utilisateurs pour les avertir, j’ai peu de compte sur le serveur.
A défaut de documentation, j’ai trouvé cette réponse de @ljf qui détaille le niveau de protection. Je la remets ici pour lui donner un peu plus de visibilité sur le forum: