Password Security

How Long Should a Password Be in 2026?

📅 June 2026 ⏲ 5 min read 🌐 perfectname.net

The short answer: 16 characters minimum for most accounts, 20 or more for anything critical. Here is why those numbers matter and what changes based on the account type.

Why length is the most important factor

Every character you add to a password multiplies the number of possible combinations exponentially. A 10-character password made of letters and numbers has roughly 3.7 quadrillion possible combinations. A 20-character password has roughly 13 billion billion. Cracking software works through combinations systematically — length is the most effective defense against that approach.

NIST (the U.S. National Institute of Standards and Technology), which sets the standard that most security teams follow, updated its guidelines in 2024 to emphasize length over complexity. Their recommendation: at least 15 characters for most accounts.

The right length by account type

Low-stakes accounts (streaming, news sites, newsletters): 12 characters is acceptable, especially if the account has no stored payment information.
Standard accounts (social media, shopping, apps): 16 characters minimum.
High-value accounts (email, banking, investment platforms): 20 characters minimum. These accounts are the ones attackers prioritize, and they are the recovery method for every other account you own.
Password managers: 20-25 characters. This is the one password that protects all others. Make it the strongest you have.

Does complexity still matter?

Yes, but less than length. A 20-character password made entirely of lowercase letters is still very strong. Adding uppercase, numbers, and symbols to a 20-character password makes it stronger, but the difference is smaller than going from 12 to 20 characters.

The practical rule: use a random generator (not a word or phrase you created yourself), aim for 16+ characters, and include a mix of character types. Do not stress about the precise ratio of symbols to letters.

Passphrases vs. random passwords

A passphrase is four or five random words joined together: "correct horse battery staple." These are long (20+ characters naturally) and easier to remember than random strings. They are a good option for the passwords you need to type manually (like your password manager's master password). For everything else that a password manager fills in automatically, use a fully random string. It is stronger at the same length.

Generate a strong random password in seconds. PerfectName's password generator uses cryptographic randomness and runs entirely in your browser. Nothing is stored or transmitted.

Generate a strong password →

Frequently asked questions

Is 8 characters still acceptable?

No. An 8-character password can be cracked in hours or less with modern hardware, even with uppercase and symbols. Most security standards deprecated 8-character minimums in 2020 or earlier.

Should I use a different length for different accounts?

Yes. Calibrating length to account value is a reasonable approach. Low-value accounts do not need the same length as your email or banking passwords. The key is that no account should be below 12 characters, and high-value accounts should be at 20 or more.

Does a longer password make my account impossible to hack?

No password makes an account impossible to hack. A long, random, unique password dramatically reduces the risk of brute-force attacks, but other attack types (phishing, credential stuffing, session hijacking) do not care how long your password is. Use 2FA in addition to a strong password.

How often should I change a long password?

Only when there is a reason to: a known breach of a service you use, suspicion of unauthorized access, or when you have shared it with someone who no longer needs access. Changing passwords on a schedule without cause does not improve security.

A resposta curta: 16 caracteres no mínimo para a maioria das contas, 20 ou mais para qualquer coisa crítica. Veja por que esses números importam.

Por que o comprimento é o fator mais importante

Cada caractere que você adiciona a uma senha multiplica exponencialmente o número de combinações possíveis. O NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) atualizou suas diretrizes em 2024 para enfatizar o comprimento em detrimento da complexidade. A recomendação: pelo menos 15 caracteres para a maioria das contas.

O comprimento certo por tipo de conta

Contas de baixo risco (streaming, sites de notícias): 12 caracteres é aceitável.
Contas padrão (redes sociais, compras, apps): 16 caracteres no mínimo.
Contas de alto valor (email, banco, investimentos): 20 caracteres no mínimo. Essas contas são o método de recuperação de todas as outras que você possui.
Gerenciadores de senha: 20 a 25 caracteres. Esta é a senha que protege todas as outras.

A complexidade ainda importa?

Sim, mas menos do que o comprimento. Use um gerador aleatório, mire em 16+ caracteres e inclua uma mistura de tipos de caracteres. Não se preocupe com a proporção precisa de símbolos por letras.

Frases-senha vs. senhas aleatórias

Uma frase-senha é quatro ou cinco palavras aleatórias juntas: "cavalo-correto-bateria-grampo". São longas e mais fáceis de memorizar. São boas para senhas que você precisa digitar manualmente. Para todo o resto que um gerenciador de senhas preenche automaticamente, use uma string totalmente aleatória.

Gere uma senha forte e aleatória em segundos. O gerador do PerfectName usa aleatoriedade criptográfica e funciona inteiramente no seu navegador. Nada é armazenado ou transmitido.

Gerar uma senha forte →

Perguntas frequentes

8 caracteres ainda é aceitável?

Não. Uma senha de 8 caracteres pode ser quebrada em horas ou menos com hardware moderno, mesmo com maiúsculas e símbolos.

Com que frequência devo trocar uma senha longa?

Apenas quando há um motivo: uma violação conhecida de um serviço que você usa, suspeita de acesso não autorizado ou quando você a compartilhou com alguém que não precisa mais de acesso.

Uma senha longa torna minha conta impossível de hackear?

Não. Use autenticação de dois fatores além de uma senha forte.

La respuesta corta: 16 caracteres como mínimo para la mayoría de las cuentas, 20 o más para todo lo crítico.

Por qué la longitud es el factor más importante

Cada carácter que agregas a una contraseña multiplica exponencialmente el número de combinaciones posibles. El NIST actualizó sus directrices en 2024 para enfatizar la longitud sobre la complejidad. Su recomendación: al menos 15 caracteres para la mayoría de las cuentas.

La longitud correcta por tipo de cuenta

Cuentas de bajo riesgo: 12 caracteres es aceptable.
Cuentas estándar: 16 caracteres como mínimo.
Cuentas de alto valor (email, banco, inversiones): 20 caracteres como mínimo.
Gestores de contraseñas: 20 a 25 caracteres.

La complejidad todavía importa?

Sí, pero menos que la longitud. Usa un generador aleatorio, apunta a 16+ caracteres e incluye una mezcla de tipos de caracteres.

Genera una contraseña fuerte y aleatoria en segundos. El generador de PerfectName usa aleatoriedad criptográfica y funciona completamente en tu navegador.

Generar una contraseña fuerte →

Preguntas frecuentes

8 caracteres todavía es aceptable?

No. Una contraseña de 8 caracteres puede ser descifrada en horas con hardware moderno, incluso con mayúsculas y símbolos.

Con qué frecuencia debo cambiar una contraseña larga?

Solo cuando hay una razón: una brecha conocida, sospecha de acceso no autorizado, o cuando la compartiste con alguien que ya no necesita acceso.