Estoy seguro de que obtendrás mejores respuestas que esta que detallan las matemáticas exactas.
Una contraseña puede ser tan larga como desee (dentro de las reglas del sistema). Cuanto más largo sea, más ralentizará a alguien que está tratando de imponerle fuerza bruta. Al hacerlo más complejo al agregar caracteres especiales, los números en mayúsculas y minúsculas las ralentizarán aún más.
Las contraseñas de forzados brutos cuestan dinero, por lo que en realidad solo quieres que no valga la pena el costo de forzar tu contraseña. Ese valor estará determinado por lo que lo esté utilizando.
Puede verificar la fortaleza de las posibles contraseñas que desee utilizar en www.passwordmeter.com
Como regla general, sugeriría al menos de 7 a 9 caracteres con algunos caracteres especiales, números y mayúsculas y minúsculas. Sin embargo, esta es solo mi opinión y no reglas duras y rápidas.
Un error que a menudo veo es que las contraseñas son tan complejas ya sea porque la política de contraseñas las obliga o porque el usuario solo las quiere, que las personas no pueden recordar sus contraseñas, por lo que terminan haciendo una copia insegura, es decir, escribiéndolo en una nota adhesiva. Escribirlo socava todo el propósito de tener una contraseña realmente compleja en primer lugar.
Por lo tanto, la longitud y complejidad de la contraseña también es un compromiso entre la accesibilidad, la facilidad de uso y la seguridad.