В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).