Lo siguiente es verdadero si los caracteres se seleccionan al azar.
El teclado Qwerty estándar de EE. UU. tiene 96 caracteres únicos. Esto significa que cada personaje seleccionado al azar agrega aproximadamente 6,6 bits de entropía. Si tiene una contraseña de ocho caracteres, la entropía sería 8 * 6.6 = 53 bits
Si solo está utilizando caracteres alfanuméricos (62 caracteres, sin caracteres especiales), cada carácter seleccionado al azar agrega 6 bits de entropía. En ese caso, la contraseña de 8 caracteres tendría 8 * 6 = 48 bits de entropía. Eso es más que suficiente para la cuenta en línea donde se detecta la fuerza bruta.
Para una cuenta fuera de línea, 12 caracteres (72 bits) serían suficientes. Incluso el gobierno de los EE. UU. Tendrá que dedicar un esfuerzo informático serio (millones de dólares) a la fuerza bruta de 72 bits, especialmente porque las contraseñas suelen estar bloqueadas con algo como bcrypt o PBKDF2, lo que hace que la fuerza bruta sea cara.
Una vez más, todo esto es cierto si los personajes se seleccionan al azar (mediante software o tarjetas barajadas o algo así) Si los humanos están escogiendo a los personajes, entonces la entropía sería menor.