Вообще то, требования к сложности пароля к базе на текущий момент предельно глупые:
- если подключиться к базе можно только с локального адреса, то какой пароль к базе не имеет значения, т.к. пока не взломают хостинг, к базе доступ не получат. Если же хостинг все таки сломали - сложный пароль ни от чего не спасает, он записан сразу на диске (как минимум), как максимум, можно делать вообще все, что захочет злоумышленник
- если же разрешен доступ к базе удаленно - тогда пусть проверяется, но опять, перед проверкой сложности пароля к базе нужно знать, какие требования хостера по сложности пароля. У разных хостеров эти требования разные.
Сейчас же всех под одну гребенку стрегут. 90-95% проектов делается на шаредах, где обращение только локально. Тогда к чему свою параною включать для всех? Нам ведь еще и клиентам объяснять нужно, почему это какой то нелепый тест выдает столь грозное предупреждение.