È piuttosto difficile quantificare cosa sia un 'rischio reale per la sicurezza'. Una password creata con le impostazioni predefinite di pwgen (tutte lettere minuscole, 8 di lunghezza) memorizzate utilizzando un hash veloce (MD5 o SHA1) potrebbe essere offline brute-force cracked con una singola GPU moderna in qualsiasi momento da pochi minuti (solo in minuscolo) fino a circa 9 giorni contro tutti i caratteri (tentativi di lettere minuscole, maiuscole, numeri, simboli). Se questa stessa password è memorizzata usando un algoritmo di hash più strong (scrypt, bcrypt, argon2, ecc.) Allora potrebbe essere incrinato usando una forza bruta contro solo lettere minuscole ma probabilmente non con una forza bruta completa contro tutti i caratteri (perché sarebbe prendi troppo tempo).
Il tuo gestore di password e la crittografia del disco dovrebbero utilizzare questi algoritmi di hashing più lenti per la derivazione delle chiavi. Con gli account online spesso non sai che tipo di hashing hanno implementato, quindi la scommessa sicura è di assumere hash veloci.
Secondo le mie stime, il passaggio a una lunghezza minima della password di 11 caratteri per gli hash lenti e un minimo di 14 caratteri per gli hash veloci dovrebbe aiutare a compensare la debolezza dell'uso di password create con caratteri minuscoli. Puoi aumentare rapidamente la forza aggiungendo più lunghezza come consentito dalla tua memoria (o dai criteri per le password).
Avvertirò che queste stime presumono che gli attaccanti debbano usare attacchi a forza bruta (anche se contro una selezione ristretta di caratteri, come in minuscolo) per indovinare la tua password. La mia comprensione di pwgen è che, per impostazione predefinita, non crea casualmente le password e tenta invece di strutturarle in un arrangiamento di consonanti e vocali più facile da ricordare. Ciò probabilmente causa una significativa riduzione del numero di password possibili rispetto al pool totale di password casuali minuscole.
Quindi in teoria un utente malintenzionato potrebbe identificare solo le possibili password generate da pwgen e indirizzare le persone nei tentativi di violazione delle password per risparmiare tempo. Se questo pool di password di pwgen è il 15% delle possibilità minuscole totali (non ho idea di cosa sia effettivamente), 11 caratteri probabilmente non sarebbero una lunghezza minima sufficiente. Avresti bisogno di andare con un minimo di 12 caratteri, aggiungendo più caratteri per soddisfare le tue particolari paranoie e le tue preferenze future-proofing.