Me diferiré de las otras respuestas (hasta ahora) y sugeriré que si está generando una contraseña aleatoria única por sitio web, no necesita una contraseña realmente larga.
Permite reflexionar sobre las amenazas a las contraseñas. Solo veremos el lado del servidor (es decir, no tendremos en cuenta cosas como el malware de registro de pulsaciones de teclas en la PC, ya que la longitud de la contraseña no ayuda mucho)
Básicamente, los ataques, para los que la longitud de la contraseña es relevante, se dividen en dos categorías. Fuerza bruta en línea y fuerza bruta fuera de línea.
En la fuerza bruta en línea, el atacante intenta adivinar su contraseña contra el sitio web, por lo que envía una solicitud por intento. En realidad, muchos sitios se bloquearán después de una cantidad de solicitudes incorrectas, pero para esto supongamos que no lo hacen
Ahora asuma que el atacante puede hacer 1000 conjeturas por segundo. Si ha elegido (por ejemplo) una contraseña aleatoria de 8 caracteres con caracteres superior, inferior y numéricos, hay 62 ^ 8 opciones. A ese ritmo, estamos hablando de la muerte térmica del universo antes de que lo adivinen.
Ahora alguien podría decir "¿qué pasaría si el atacante consigue una botnet para adivinarlo, puede ir mucho más rápido?", sugeriría que lo hiciera prácticamente en cualquier sitio antes de hacer esto lo suficientemente rápido como para ser práctico.
Ok, hablemos de la fuerza bruta sin conexión ya que es más relevante para la longitud de la contraseña. Aquí el atacante ya tiene una copia de su hash de contraseña, por lo que es probable que hayan comprometido la seguridad de ese sitio bastante a fondo. Aquí puede argumentar que desea que la contraseña dure lo suficiente para que el sitio se dé cuenta de que se ha procesado y le permite restablecer su contraseña.
Decir exactamente cuánto tiempo es un poco complicado ya que depende mucho de cómo el sitio almacena sus contraseñas. Si usan MD5 sin sal, eso es una gran diferencia que si usan bcrypt con un alto factor de trabajo.
Sin embargo, una cosa a considerar en todo esto es el impacto. ¿Cuál es el impacto de esta contraseña está siendo descifrado? Bueno, si ha usado un valor aleatorio único para cada sitio, es probable que el impacto sea bastante limitado. Esperaría que todos sus sitios de alto valor utilicen 2FA para que la contraseña por sí sola no llegue al atacante ni a los sitios de bajo valor. ¿Cuáles son las consecuencias del compromiso?
Todo ese análisis no responde realmente a tu pregunta, pero como regla general te sugiero que incluso utilices 10-12 caracteres con Upper, Lower y numeric, y las contraseñas son realmente aleatorias (eso es lo importante bit) es probable que a) esté bien yb) no tenga problemas con las restricciones del sitio.
Por este artículo sobre el descifrado de contraseñas un numérico superior, inferior, de 10 caracteres la contraseña demoraría 83 días para que una "Súper computadora o botnet" se dañe. Lo que tiene que preguntarse es si es probable que un atacante invierta ese costo para romper una contraseña única donde ya ha comprometido la seguridad del sitio de destino para obtener el hash ...