Supponendo l'uso di bcrypt / scrypt:
Sarebbe una buona idea "richiedere" una password di almeno 12 caratteri, menzionando anche la possibilità di utilizzare lunghe passphrase, invece del tipico requisito minimo di 8 caratteri maiuscoli / minuscoli / caratteri speciali?
Sembra che ci sia un compromesso tra la facilità di memoria e quanto sia difficile qualcosa per forza bruta, e non tutti usano (o vogliono usare) gestori di password.
Qual è la soluzione migliore in pratica? Non so quali requisiti password impostare per i miei utenti. Avere requisiti troppo complessi offre agli utenti un incentivo per rendere le password facili da ricordare, mentre i requisiti troppo indulgenti offrono agli utenti un incentivo per essere pigri e rendere le password deboli alla forza bruta.