Vamos fazer um cálculo rápido (e esquecer as práticas recomendadas por um momento):
Assuma um prazo de seis meses para um invasor invadir seu sistema. Vamos supor também que as senhas sejam escolhidas aleatoriamente de um conjunto de caracteres de tamanho 62.
Cenário 1: Você usa uma senha de 9 caracteres durante os seis meses inteiros.
Cenário 2: Você usa uma senha de 9 caracteres para os primeiros três meses e uma senha diferente de 9 caracteres para os três monts restantes.
Cenário 3: Você usa uma senha de 10 caracteres para os seis meses inteiros.
Em Cenário 1 , um atacante de força bruta hackeia sua conta com 100% de certeza, se ele conseguir fazer 62 ^ 9 tentativas nesse tempo.
Em Cenário 2 , se ele puder fazer apenas (62 ^ 9) / 2 tentativas na metade do tempo (três meses), ele hackeará a conta com 50% de certeza. No segundo tempo, ele terá outra chance com 50% de certeza. Então, estatisticamente, ele hackeia a conta com 75% de certeza.
No Cenário 3 , ele terá 62 ^ 9 tentativas durante os seis meses inteiros. Mas existem 62 ^ 10 possibilidades. Então, ele vai hackear a conta apenas com 1/62 de certeza, ou seja, cerca de 1,6%.
Portanto, se deixarmos todos os outros fatores (como senhas roubadas e outros tipos de ataques), a recomendação seria escolher senhas mais longas do que usar senhas mais curtas (ou mais simples), mesmo que elas sejam alteradas com mais frequência. Especialmente, porque em Cenário 3 , há apenas 10 caracteres para lembrar, enquanto em Cenário 2 , são 18 caracteres.