パスワードって特殊な情報を持ってる人はともかく、一般人に対する攻撃は

• 脆弱性のあるサイトを攻撃してアカウントをぬすむ
• 計算機で力まかせでハッシュをもどす(もしくはハッシュ化してない残念なサイトだった)
• 他のサイトでアカウント/パスワードのペアを試す

みたいな攻撃がほとんどだと思うし、最優先でやるべきことは、サイトごとに違うパスワードを設定することではないだろうか。

大文字小文字まぜるとか辞書に無い単語を入れるとかは、どうせ向こう側がハッシュかけてないとかだとその時点でどうしようもないし、現代ではそれほど重要ではないと思う。

まあでも一番大事なことは、「パスワードの期限が切れました変更してください」みたいなお知らせが届いても余計なことを言わないように平常心を保つことなので平常心を保ちましょう。