在「Why is length > complexity? Because math...」這篇以組合數的角度提出了密碼的長度比起其他的各種限制來的有效。
(出自「xkcd: Password Strength」)這是在考慮到 threat model 與使用者習慣的平衡性,要求使用者要有大小寫數字特殊字元,不如簡單要求長度就好,對於密碼資料庫外洩時對抗暴力法比起要求複雜度來得有抵抗性,而且使用者反而不用記一堆特殊字元。
不過如果能用 KeePass 或是 KeePassX 這類密碼管理工具的話會更好,都是直接開到可以接受的最大上限,而且每個站都不一樣的密碼會更有防禦力,而針對密碼資料庫的 password 就可以硬背超長字串... (因為只要記一個)