¿Qué es la "fortaleza de la contraseña"? En la mente de la mayoría de las personas, es el factor de dificultad que tendrían los actores malintencionados cuando intentan adivinar su contraseña. Los medidores de seguridad de las contraseñas generalmente responden a una pregunta ligeramente diferente: ¿cuántas iteraciones le tomaría a alguien adivinar su contraseña si estuvieran adivinando cada combinación de caracteres posible en orden comenzando con 'A' hasta 'z', luego 'AA' hasta 'zz' y así sucesivamente, una técnica conocida como fuerza bruta.
¿Cuál es la diferencia? Esas dos cosas no son iguales porque no sabes qué tan rápido adivinan los malos, ni qué técnica están usando para adivinar. "Su contraseña tardaría 1 año en adivinar" no tiene ningún significado sin contexto. La rapidez con la que adivinan depende del método que usó el servidor para almacenar las contraseñas porque el momento más común en que adivinan las contraseñas es cuando piratean un sitio y descargan la base de datos de información del usuario. Si el servidor pirateado almacenaba contraseñas en texto plano, los malos pueden descifrarlo independientemente de la "fuerza" de su contraseña. Comúnmente, los servidores no almacenarán las contraseñas directamente y en su lugar almacenarán la salida de funciones de una manera como MD5 y SHA. En ese punto, los malos no pueden tomar la salida y descifrar la entrada; tienen que adivinar la entrada y ejecutarla a través de la función para ver si las salidas coinciden. El software moderno de descifrado de contraseñas puede aprovechar las GPU y hacer miles de millones de suposiciones a cada segundo, y si ve un sitio que calcula los "años para descifrar su contraseña", generalmente se asume este escenario con personas malintencionadas que están obligadas a adivinar. Los sitios con mayor seguridad, como las versiones actualizadas de Wordpress, usarán estas funciones en la contraseña y luego las usarán nuevamente en la salida una y otra vez, por lo que puede tomar algunos milisegundos adicionales para que el servidor inicie sesión pero lo malo los individuos solo podrán adivinar miles de contraseñas por segundo en este tipo de ataques.
¿Y si no son de fuerza bruta? Una contraseña de "passwordpasswordpasswordpasswordpassword" llevaría mucho tiempo si los malos adivinaran cada combinación de letras, pero si estuvieran usando una herramienta moderna de descifrado de contraseñas, podrían adivinar las concatenaciones de palabras de su diccionario y probablemente podrían para adivinar que uno mucho más rápido que "ogNeTJeB6w5YhRsy972c". No he visto un medidor de seguridad de contraseñas que realmente use un buen diccionario de contraseñas filtradas, sin embargo, es exactamente a lo que se enfrentará su contraseña si se compromete un sitio con el que se haya registrado.
Ninguno de los antecedentes responde directamente a tu pregunta, pero creo que es necesario comprenderlo para responder si una contraseña con esas 4 características es "fuerte". La respuesta está en algún lugar entre "depende" y "no importa". Si una vulnerabilidad en su sitio ha permitido que un actor malintencionado descargue su lista de contraseñas con hash, el hecho de que haya un carácter especial en su contraseña de administrador no es tan importante. Pero si su contraseña de 50 caracteres con caracteres ASCII altos es la misma que usa en cada sitio, y se ha registrado en un sitio que almacena las contraseñas en texto sin formato, y ese sitio se piratea, su seguridad de la contraseña (según nuestra primera definición) acaba de ser muy débil Y si está haciendo esta pregunta, supongo que está reutilizando su contraseña y le preocupa que esta contraseña que ha utilizado en todo el Internet no sea tan buena como otros medidores de seguridad de contraseñas le han hecho creer. Ese hábito es realmente lo que hace que su contraseña sea "débil", no si contiene letras mayúsculas.
Di una charla en TEDx sobre este último año, que recomendaría ver si quiere la versión de 14 minutos de este post. Si desea contraseñas "seguras", use un software de administración de contraseñas como KeePass, LastPass o OnePassword para tener una contraseña diferente en cada sitio, y bloquee su base de datos con un contraseña de Diceware .