В кино и играх постоянно показывают хакеров, подбирающих пароли.
Я вообще без понятия, как им это удаётся? Ну то есть казалось бы очевидно, если сервер получает больше пяти неверных вводов пароля на один и тот же аккаунт - он должен переставать отвечать на какое-то время.
И всё, после этого - даже пароль из трёх букв будет подбираться веками.

Вместо этого - сайты постоянно заставляют придумывать длинные пароли, да её и с цифрами и большими буквами.
Зачем?
Для чего?
Просто не позволяйте подбирать пароль. Пять попыток - пауза полчаса, да и пофиг на полчаса. Десяти минут будет достаточно, чтобы сделать перебор длиной в вечность, даже вот с самым умными алгоритмами.

Никаких цифр и заглавных букв после этого не нужно.
Никто не подберёт.