Die Passwörter sollten nach möglichkeit aus ca. 128 Bits bestehen, wenn diese 128 Bits zufällig gewählt wurden.
D.h. bei reinen zeichenbasierten Passwörtern die nur Buchstaben und Zahlen enthalten aus englischen/deutschen Wörtern sollte das Passwort ca. 128 * (8 / 3.2) = 320 Bits / 8 = 40 Zeichen bestehen. Ein 40 Zeichenpasswort ist rechnerisch also die korrekte Sicherheitsschranke um Bruteforce Angriffen zu widerstehen zu können.

Die 3.2 sind die durchschnittliche Informationsgehalt eines 8 Bit Bytes, wenn dieses Byte nur aus ASCII Zeichen besteht und im Zusammenhang mit englischen Wörtern gesehen wird. D.h. die Informationsdichte pro Byte ist nur 3.2 Bits groß. Deshalb müssen ASCII Passwörter immer größer sein als reine zufällig gewählte und binäre Passwörter.

Soweit die mathematisch rechnerische Grundlage. Natürlich benutzt KEINER von uns so lange Passwörter, was auch erklären mag das man heutzutage durchaus schnelle und erfolgreiche Brute Force Angriffe durchführen kann.
Auch mein Algo. in der Code Library berücksichtigt dies, und reduziert zu Gunsten der Faulheit der User, die Passwortsicherheits-Schranken drastisch.

Allerdings 32 Bits, in deinem ogiben Falle sogar nur 12.8 Bits, sind erheblich zu gering.

Gruß Hagen