あるAnonymous Coward 曰く、

https://www.webroot.com/blog/2018/11/05/password-constraints-unintended-security-consequences/
https://www.lifehacker.jp/2018/12/how-password-constraints-give-you-a-false-sense-of-secu.html

パスワードを強化するために「大文字／小文字／数字／記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうと全て小文字や全て大文字の組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるということのようだ。特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては、文字種を増やすのではなく、パスワードをより長くすべきとしている。

情報元へのリンク