На хабре же бегала статья про пароли и там однозначно пришли к идее, что нужна парольная фраза из слов похожих на слова реального языка, типа такого:
регистром можно поиграться, хотя от радужных таблиц несолёный хэш не спасает.
Мало того, что пароль должен быть взломостойкий, ещё сам алгоритм и его реализация, что толку в паролях длинной +100500 символов, если ваш пароль раскрывает сессионный ключ, генерируемый по слабому криптоалгоритму\реализации ?