我将不同于其他答案(到目前为止),并建议,如果您生成一个独特的随机密码每个网站,你根本不需要一个真正的长密码。
让我们考虑一下对密码的威胁。我们将单独查看服务器端(也就是说,我们不会考虑像在您的PC上击键记录恶意软件这样的事情,因为密码长度对此没有多大帮助)
因此,基本上,密码长度相关的攻击可分为两类。在线蛮力和离线蛮力。
在网络暴力中,攻击者试图根据网站猜测您的密码,因此他们每次尝试都会提交一个请求。实际上,许多站点会在一些不正确的请求之后被锁定,但为此,让我们假设它们没有
现在假设攻击者每秒可以进行1000次猜测。如果(例如)使用上、下和数字字符选择了8个字符随机密码,则有62^8选项。以这种速度,我们谈论的是宇宙的热死亡,而不是他们猜到的。
现在有人可能会说:“如果攻击者猜到了僵尸网络,他们可以跑得更快!”,我建议您在使这个站点变得足够快之前,可以使用DoS。
好的,让我们谈谈离线蛮力,因为它更相关的密码长度。在这里,atacker已经得到了您的密码哈希的副本,因此很可能他们已经相当彻底地破坏了该站点的安全性。在这里,您可以提出一个论点,您希望密码持续足够长的时间,使站点注意到它们已被清除,并让您重置您的密码。
确切地说多长时间有点棘手,因为这在很大程度上取决于网站如何存储他们的密码。如果他们使用未加盐的MD5,这与他们使用工作系数高的bcrypt有很大的不同。
然而,在所有这一切中需要考虑的一件事是影响。密码被破解会有什么影响。如果你对每个站点都使用了一个唯一的随机值,那么影响很可能是非常有限的。您可能希望您的高价值站点都使用2FA,因此仅凭密码不会使攻击者和低值站点受到影响,那么妥协会带来什么后果呢?
所有这些分析并没有真正回答你的问题,但作为一个经验法则,我建议如果你使用10到12个字符,上面、下和数字,密码是随机的(这是重要的一点),你很可能会很好,( b)不太可能遇到任何网站限制的问题。
按照这篇文章讨论密码破解的要求,一个上、下10个字符的数字密码需要83天才能破解。您要问自己的是,攻击者是否有可能在他们已经破坏目标站点的安全性以获取哈希的情况下,为破解单个密码而投资.