Na minha opinião, mais importante do que a qualidade da senha, é a segurança adicional da autenticação.
Autenticação de 2 fatores, throttling (um throttling bem feito impossibilita brute force), um fail2ban bem implementado.
Cerca geografica também ajuda bastante dependendo do serviço.
Por exemplo alguns bancos costumam bloquear se você costuma acessar sempre de Fortaleza, e repentinamente acessa em São Paulo.