Ты не прав. Объясню почему. Сейчас, с мощными алгоритмами хэширования (тот же Sha3) а иногда и устойчивыми к брутфорсу и созданию радужных таблиц (Argon2) а также такими штуками как OTP, соль, токен и прочее довольно сложно (я бы сказал нереально) забрутить даже 12ти символьный пароль, созданный с помощью нормального ГСЧ и с использованием самого большого алфавита (цифры + буквы + спец символы. Вроде бы 77 символов).
Поэтому на первый план выходит социальная инженерия. Я свободно посещаю интересный курс лекций, по криптографии в своем городе. И вот, на одной из лекций про правильное хранение паролей, я слышу голос в зале: "А какой алгоритм лучше для хранения без соли, а то у меня очень важная информация". Лектор в шутку спрашивает, мол "Биткоины неужто?" А голос в ответ: "Нет, другие криптовалюты, но тоже ценные". Вот и все. Был бы я, к примеру, СБУшником, я бы маякнул своим, мы бы после лекции человека остановили, повод нашелся бы. В странах СНГ с этим проблем нет. И все, потом бы все нам рассказал, так как термический криптоанализатор взламывает любой пароль и любой алгоритм.
Такому индивиду никакой пароль не поможет, потому что в цепочке защиты информации он самое слабое звено. А защищенность информации определяется всегда самым слабым звеном.
А так то, по-хорошему, нельзя ограничивать длину пароля и языки ввода. Тогда и база хранения устойчивее, и меньше шансов что подберут. Это тоже лайфхак тем, кто здесь возможно так же пишет сайты.