Eu acho que esse cliente precisa ser espancado um pouco. :)
A coisa chata é que eu posso entender e até mesmo empatizar de onde eles estão vindo. Mas esse requisito só causará sofrimento e complicações a longo prazo (vejo, por exemplo, um requisito futuro para que a lista de "senhas comuns conhecidas" seja atualizada em uma base anual - ou até mais frequente). Sabe-se que os requisitos de complexidade de senha funcionam no campo e até mesmo o requisito de complexidade mais básico (como qualquer 3 de maiúscula, minúscula, numérica ou símbolo) excluirá automaticamente a grande maioria das palavras do dicionário.
Outro problema é que muitas pessoas usarão as coisas com as quais estão familiarizadas como senha. Um número de previdência social, por exemplo, pode atender a um requisito de complexidade (números, letras e um hífen, talvez) e, com certeza,
nunca estaria em qualquer lista hipotética de "senhas comuns conhecidas", mas também ser inseguro, pois é uma das coisas que um cracker potencial tentaria (assumindo que eles sabiam ou tinham os meios para obtê-lo).
Um serviço on-line que usei uma vez a segurança de senha medida medindo uma combinação de fatores: quantos de cada tipo de caractere estava na senha e por quanto tempo a senha geral estava. Um feedback instantâneo foi dado para que você pudesse ter uma boa noção de se sua senha foi considerada boa ou não com base em suas métricas. Tal abordagem parece muito preferível para mim.
Também seria atraente usar um serviço como o OpenID ou o Microsoft Passport (ou o que quer que ele seja chamado essa semana) em vez de implementar o seu próprio. Sou muito suspeito de serviços que exigem que um usuário tenha um logon separado para tudo o que acessa. O maior risco é que o usuário tenha tantos combos de nome de usuário / senha para lembrar que eles acabarão por escrevê-los, e também que eles usarão o mesmo nome de usuário e senha para todos eles, de modo que se leva é um - fica comprometido, todos eles são efetivamente comprometidos. A regra de elo mais fraco se aplica aqui com botões. Ir com um fornecedor especializado nesta área é uma coisa boa (você é livre para se concentrar em detalhes do seu serviço, você tem um mecanismo de autenticação que é bem conhecido, etc).