Si no está equivocado, está preguntando qué tan fuerte deben ser las contraseñas del servidor. Como se dijo en los comentarios, usted es el único que puede responder eso.
Esas páginas deberían ayudarte:
SEC.SE
Wikipedia
Microsoft
Nist
No en el rango de preguntas
Las políticas de su (s) contraseña (s) deben cumplir con los requisitos de seguridad que ha establecido sabiamente después de evaluar los riesgos. Aquí hay un esquema simple básico:
0 security security requirements button super secure
<------------------------[]----------------------->
user super friendly Not user friendly at all
Aquí está la idea general: debe definir la posición del botón de requisitos de seguridad . Es más o menos un compromiso entre la facilidad de acceso y la seguridad.