Quanto segue è vero se i personaggi sono scelti in modo casuale.
La tastiera standard degli Stati Uniti Qwerty ha 96 caratteri univoci. Ciò significa che ogni personaggio scelto casualmente aggiunge circa 6,6 bit di entropia. Se hai una password di otto caratteri, l'entropia sarà 8 * 6.6 = 53 bit
Se si utilizzano solo caratteri alfanumerici (62 caratteri, nessun carattere speciale), ciascun carattere scelto a caso aggiunge 6 bit di entropia. In tal caso, la password di 8 caratteri avrebbe 8 * 6 = 48 bit di entropia. Questo è più che sufficiente per un account online in cui la forza bruta è rilevabile.
Per l'account offline 12 caratteri (72 bit) sarebbero sufficienti. Persino il governo degli Stati Uniti dovrà impegnarsi seriamente (milioni di dollari) nella forza bruta di 72 bit, soprattutto perché le password sono solitamente sottoposte a hash con qualcosa come bcrypt o PBKDF2, il che rende costose le forzature brute.
Ancora una volta, tutto questo è vero se i personaggi vengono scelti a caso (con software o carte mescolate o qualcosa del genere) Se gli umani stanno selezionando i personaggi, allora l'entropia sarebbe inferiore.