Надёжный пароль обладает двумя качествами: он длинный и уникальный. Длина важнее сложности символов: пароль из 16 случайных строчных букв перебрать труднее, чем «P@ss1». Хороший приём — парольная фраза из нескольких несвязанных слов: «корзина-вулкан-носок-42» легко запомнить и трудно подобрать.
Уникальность критична. Если использовать один пароль везде, то утечка с любого мелкого форума открывает почту и банк. Базы утёкших паролей продаются массово, и злоумышленники автоматически пробуют их на всех сайтах — это называется credential stuffing.
Очевидные пароли запрещены: имя, дата рождения, «123456», «qwerty», название города. Их подбирают в первую очередь. Не стоит и дописывать к одному паролю номер сайта (pass-vk, pass-mail) — такую схему легко угадать после первой же утечки.