Diversamente dalle altre risposte (finora) e suggerisco che se stai generando una password casuale unica per sito web, non hai affatto bisogno di una password veramente lunga.
Pensiamo alle minacce alle password. Daremo un'occhiata solo al lato server (non terremo conto di cose come il malware di registrazione dei tasti sul tuo PC dato che la lunghezza della password non aiuta molto)
Quindi fondamentalmente gli attacchi, per i quali la lunghezza della password è rilevante, rientrano in due categorie. Brute-force online e brute-force offline.
Nella brute-force online, l'utente malintenzionato cerca di indovinare la tua password contro il sito Web, quindi invia una richiesta per tentativo. In realtà molti siti si bloccheranno dopo un numero di richieste errate, ma per questo si assume che non lo fanno
Supponiamo ora che l'attaccante possa fare 1000 ipotesi al secondo. Se hai (per esempio) scelto una password casuale di 8 caratteri usando i caratteri Upper, Lower e numerici ci sono 62 ^ 8 opzioni. A quel ritmo stiamo parlando della morte termica dell'universo prima che lo indovinino.
Ora qualcuno potrebbe dire "cosa succede se l'attaccante ottiene una botnet per indovinarlo, può andare molto più veloce!", suggerirei di fare praticamente qualsiasi sito prima di renderlo abbastanza veloce da essere pratico.
Ok lascia parlare la brute-force offline poiché è più rilevante per la lunghezza della password. Qui l'atacker ha già una copia dell'hash della password, quindi è probabile che abbiano compromesso la sicurezza di quel sito in modo abbastanza approfondito. Qui puoi fare un argomento per cui vuoi che la password duri abbastanza a lungo affinché il sito si accorga di essere stato pwnato e ti ha portato a reimpostare la tua password.
Dire esattamente quanto è lungo un po 'complicato in quanto dipende molto da come il sito memorizza le proprie password. Se usano MD5 non salato questa è una differenza enorme rispetto a se usano bcrypt con un fattore di lavoro elevato.
Tuttavia, una cosa da considerare in tutto questo è l'impatto. Qual è l'impatto di questa password in fase di crack. Bene, se hai utilizzato un valore casuale unico per ogni sito, l'impatto sarà probabilmente piuttosto limitato. avresti spero che i tuoi siti di alto valore utilizzino tutti 2FA, quindi la password da sola non ottiene l'aggressore lontano e i siti con un valore basso, beh, quali sono le conseguenze del compromesso?
Tutta quell'analisi non risponde alla tua domanda, ma come regola generale ti suggerirei se usi addirittura 10-12 caratteri con Superiore, Inferiore e numerico e le password siano davvero casuali (questo è l'importante bit) sei a) probabilmente andrà bene e b) difficilmente incontrerà problemi con qualsiasi restrizione del sito.
Per questo articolo su password cracking a 10 caratteri superiore, inferiore, numerico la password impiegherebbe 83 giorni per un "Super computer o botnet" da decifrare. Quello che devi chiedertelo è, è probabile che un hacker investirà quel costo per rompere una singola password in cui hanno già compromesso la sicurezza del sito di destinazione per ottenere l'hash ....