Com base em Dan, você não terá segurança adicional adicionando complexidade. Você precisa de mais fatores de autenticação. Confira Autenticação de dois fatores para obter uma lista de várias soluções e uma descrição geral sobre a prática. A autenticação é dividida em três categorias principais:
- Tem algo (keyfob, smartcard, celular)
- Sabe de alguma coisa (senha, certificado digital (é apenas uma senha muito longa!))
- Seja alguém (Impressão digital, impressão de retina)
O consenso geral é que você precisa de pelo menos dois dos primeiros para ter segurança confiável. Duplicatas são inúteis (duas senhas não são melhores que uma. Dois controles não são melhores que um). Você pode phishing uma senha, mas um keyfob de rolling-number limita a usabilidade. Você pode derrubar alguém e roubar uma impressão digital (yay hollywood movies), mas você não pode obter sua senha.
Note que os keyfobs não precisam ser outro dispositivo no conjunto de chaves do usuário, simplesmente um dispositivo separado de seu computador, e em algum lugar que sua senha é nunca armazenada. Os smartphones geralmente se encaixam nessa conta e, se você puder desenvolver um aplicativo que seja executado nos smartphones do usuário, talvez seja possível reduzir alguns custos. Depende de quão grande é a implantação que a empresa precisa.
Além disso, para o amor de qualquer divindade que você adore não imponha um tamanho máximo de senha.