Sono sicuro che otterrai risposte migliori di questa che dettaglia la matematica esatta.
Una password può essere lunga quanto vuoi (all'interno delle regole del sistema). Più è lungo, più rallenterà qualcuno che sta cercando di rinforzarlo. Rendendolo più complesso aggiungendo caratteri speciali, i numeri in maiuscolo e minuscolo li rallenteranno ulteriormente.
Le password di bruteforcing costano denaro, quindi in realtà vuoi solo farlo in modo che non valga il costo della bruteforcing della tua password. Quel valore sarà determinato da ciò per cui lo stai usando.
Puoi controllare la forza di qualsiasi password che potresti voler usare su www.passwordmeter.com
Come regola generale, suggerirei almeno da 7 a 9 caratteri con alcuni caratteri speciali, numeri e caratteri maiuscoli e minuscoli. Questa è solo la mia opinione e non regole rigide e veloci.
Un errore che vedo spesso sono le password che sono così complesse sia perché la politica delle password lo obbliga o perché l'utente lo vuole, che le persone non possono ricordare le loro password, quindi finiscono per fare una copia insicura di esso, cioè annotandolo su una nota adesiva. La sua scrittura mina l'intero scopo di avere una password davvero complessa in primo luogo.
Quindi la lunghezza e la complessità della password sono anche un compromesso tra accessibilità, facilità d'uso e sicurezza.