「どんなパスワードなら大丈夫なのか」という疑問に対して、「攻撃者はどのような手口でパスワードを破るのか」という観点で考えてみたいと思います。

パスワードに関連する攻撃として、単語や人名などをあらかじめ辞書形式にしてログイン試行を行う、辞書攻撃という手法があります。これに使われる辞書データには、一般的な英単語や、推測されやすいパスワード（例:123456、password）が登録されているため、この攻撃への対策として、いくつかの英字を数字や記号に置き換える対策方法が紹介されることがあります（例：p@ssword）。

ところが、攻撃者はこうした対策を見越して、ひとつの単語につき、バリエーションの違う候補（p@ssword,passw@rd,pa$$word）を辞書に登録する恐れがあるため、簡単な置き換えだけでは不十分と言えます。
このような簡単な置き換えのほか、パスワードの設定・運用の甘さによって、攻撃者に推測されやすくなることを示した実験について、米連邦取引委員会（FTC：FEDERAL TRADE COMMISSION）のLorrie Cranor氏が2016年のブログで紹介しています[2]。

ノースカロライナ大学で実施されたこの実験は、1万以上のアカウントパスワードをもとに行われ、3ヶ月ごとに求められる定期変更によって設定されるパスワードの履歴から、次に設定されるパスワードを推測できるかというものでした。その結果、パスワードの定期変更によりパスワードの変更パターンが定型化してしまい、攻撃者に推測されやすいパスワードとなってしまうことが明らかになりました。加えて、何らかの方法で一度漏えいしたパスワードを攻撃者が知った場合、被験者の17％が変更後のパスワードを推測されてしまったと述べられています。
このように、「パスワードは定期変更で変えているので、使い回しはしていない」と思っていても、わずか数文字程度を入れ変えた数パターンのパスワードは、いずれ攻撃者に推測されてしまう恐れがあると思われます。

ところで、こうした数字や記号の入れ替えによるパターン化は、サービス提供側で文字数の上限（8文字や12文字、16文字など）が設定されていることも要因となっていると考えられます。

米国立標準技術研究所（NIST）は2017年12月に公開した「デジタル認証のガイドライン（DRAFT Special Publication800-63B Digital Identity Guidelines）」[3]のドラフトにおいて、サービス提供側へのパスワード提供に関する要件として、ユーザが選択した場合、「少なくとも64文字の長さを選択できるよう許可すべき」と言及しました。
ユーザの希望に応じて、サービス提供側の文字数上限が広がることで、数字や記号にとらわれず、もっと多くの単語を組み入れることが可能になり、例えば、自分が好きな単語を3、4個組み合わせた、より記憶しやすく長いパスワードを作成することができます。

独立行政法人情報処理推進機構（IPA）が2013年に公開した「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」[1]において「パスワード解読の想定コスト例（表3）」が示されています。これによると、たとえ英小文字、数字のみのパスワードであったとしても、12文字以上の場合、英大文字・小文字、数字、記号を組み合わせた8文字のパスワードよりも計算コストは数百倍かかると推測されています。
前述のNISTの文書においても付録Aにて「パスワードの長さはパスワードの強度を特徴づける主要な要因である」と触れられています。
引き続き、パスワードの設定において、文字、数字を組み合わせる方法も有効ですが、限定された文字数内での記号、数字の強制使用が、「数個のパリエーションの使いまわし」という”隠れパスワード使いまわし”を生み出す恐れがあるため、「覚えやすく、使い回しにならない長いパスワード」をユーザが作りやすくなるよう、サービス提供側がNIST文書等を参考にシステムを運用いただく必要があるといえます。