Die Frage ist, was willst du absichern? Zugang zu Servern würde ich nur via RSA bzw SSH-Schlüssel erlauben. Wenn es unbedingt ein Passwort sein soll, ist die Frage wie komplex darf es sein. Wenn kein User damit umgehen muss, darf es gerne Komplex im Bereich von 16 Stellen sein. Da kannst auch alle Zeichen nutzen (wenn vom System/Script/Programm unterstützt). Ansonsten solltest du halt über fail2ban-Sicherheitsmechanischen nachdenken. Und neben Salt etc auch die Rechte der einzelnen User auf das nötigste beschränken. Für Datenbank ala MySQL wurde das bedeuten, einen Nutzer pro Datenbank.

Ich empfehle immer diese Seite hier: grc.com/haystack.htm