а вам какая разница, какие символы будут в пароле?
вы все равно пароль захешируете, и даже сохранять его не должны в исходном виде.
Однако, вы можете слушать событие oninput и проверять, что ввел пользователь.
далее проверять регуляркой наличие "ненужных" символов, и например, выводить сообщение
/[a-z0-9!@#$%^&*\(\)_\+]/i
