いくらか前提があります

まず、100%の安全はありえません。さもなくば、全遮断しか方法はありえず、実用できないからです。

パスワードは長く無意味に近いほど有効ではあります。もっとも、適切な管理も面倒になるので、メモ書き貼り付けたりしたら本末転倒です。

前述の通り、完全な認証は不可能ですから、長さは被害時の損害に見合うように設計することも一案です。もちろん、リトライ制限とかと組み合わせるのもありです。

任意の英数字（アルファベット26×2＋数字10）を n 個連ねた文字列の組み合わせは、
62 の n 乗 になります。
n = 10 として、総数は 83京通りを越えます。

毎秒1億回試行できたとしても、100年は耐えられる可能性が高いです。
※もっとも、毎秒1億回も試行されたら、処理能力がパンクしてサーバーが落ちると思いますが

重要なのは、「完全にランダムに文字列を作る」です。文字列生成時に乱数に癖があると、その癖を見抜かれてしまう可能性はゼロではありません。
また、よくある「英単語＋英単語」や「英単語＋数字」では、辞書攻撃で絞り込まれて突破される可能性も高くなります。

ただし、これはあくまでも「攻撃側が一台である」場合の予測でしかありません。毎秒1億回処理できる装置を1000台連ねて動作させられたら、下手すると1ヶ月持たないわけですから。
※どこぞのスパコンはこういう用途にしか使えない演算性能の偏りがあったりしますが･･･

すみません、辞書攻撃とブルートフォースを混同していました。
以下は取り下げます。
～
ご存じとは思いますが、ブルートフォースは辞書データを基に実行されるものですので、
長ければ長いほど+意味のある語句と離れているほど効果があるという認識です。
（いくら長くても、例えばピカソの本名なんかは辞書データに乗ってそうです。
個人的な経験ですが、恋人の名前をパスワードに設定する人はそこそこいるので、
ジャック999だのメアリー000だの人名を集めた辞書データはありそうです）

確か米の大学（mit辺りだったはず）でブルートフォース用の辞書データが公開されているはずなので、
それを使って実際にアタックすると良いと思います。

https://cybersecurity-jp.com/cyber-terrorism/17426