Я хочу создать регулярное выражение для правил безопасности паролей

Пытаться:

^((?=[^a-z]*[a-z])(?=[^0-9]*[0-9])(?=[^_\W]*[_\W])|(?=[^A-Z]*[A-Z])(?=[^0-9]*[0-9])(?=[^_\W]*[_\W])|(?=[^A-Z]*[A-Z])(?=[^a-z]*[a-z])(?=[^_\W]*[_\W])|(?=[^A-Z]*[A-Z])(?=[^a-z]*[a-z])(?=[^0-9]*[0-9]))[\S]{9,20}$

См.: regex101

Объяснение:

Сначала создаются четыре случая, в которых тройное условие может быть действительным. затем строка собирается.

• ^: начало строки
• (?:...): условия
  • (?=[^a-z]*[a-z])(?=[^0-9]*[0-9])(?=[^_\W]*[_\W]): убедитесь, что все, кроме заглавной буквы
  • |(?=[^A-Z]*[A-Z])(?=[^0-9]*[0-9])(?=[^_\W]*[_\W]): или используйте все буквы, кроме строчных.
  • |(?=[^A-Z]*[A-Z])(?=[^a-z]*[a-z])(?=[^_\W]*[_\W]): или убедитесь, что все, кроме цифры
  • |(?=[^A-Z]*[A-Z])(?=[^a-z]*[a-z])(?=[^0-9]*[0-9]): или обеспечить все, кроме особенного
• \S{9,20}$: сопоставьте от 9 до 20 символов, не являющихся пробелами.

Судя по всему, вопрос подразумевает, что специальный символ — это любой символ ASCII, который не является пробелом, цифрой, прописной или строчной буквой.

Пароль проходит различные тесты тогда и только тогда, когда он соответствует следующему регулярному выражению.

^                       # match the beginning of the string
(?:                     # begin a non-capture group
  (?=.*[^\s\dA-Za-z])   # pos lookahead asserts string contains a
                        # special character
  (?:                   # begin a non-capture group
    (?=.*\d)            # pos lookahead asserts string contains a digit
    (?=.*[A-Z])         # pos lookahead asserts string contains an UC letter
  |                     # or
    (?=.*\d)            # pos lookahead asserts string contains a digit
    (?=.*[a-z])         # pos lookahead asserts string contains a LC letter
  |                     # or
    (?=.*[A-Z])         # pos lookahead asserts string contains an UC letter
    (?=.*[a-z])         # pos lookahead asserts string contains a LC letter
  )                     # end non-capture group
|                       # or
  (?=.*\d)              # pos lookahead assert string contains a digit
  (?=.*[A-Z])           # pos lookahead asserts string contains an UC letter
  (?=.*[a-z])           # pos lookahead asserts string contains a LC letter
)                       # end non-capture group
[ ]*                    # match zero or more spaces
(?:                     # begin non-capture group
  [^ ]                  # match a char other than a space
  [ ]*                  # match zero or more spaces
)                       # end non-capture group
{9,20}                  # execute the preceeding non-capture grouip 9-20 times
$                       # match the end of the string

Демо

Я написал выражение в расширенном режиме (так называемом режиме свободного пространства), чтобы сделать его самодокументируемым. Пробелы, являющиеся частью регулярного выражения, должны быть защищены, иначе они будут удалены на этапе предварительной обработки. Я решил поместить каждый в класс символов ([ ]). Альтернативно, их можно экранировать (\ ) или использовать определенные токены Unicode.