IPAがパスワードに関する実態調査を行い、報告しています。結論部分を引用します。

ユーザーが許容できる認証方式は、「8文字以上12文字未満の桁数」
「英字と数字、記号が組み合わさった文字列」のパスワードが現実解

結論部分にあるように少なくとも8文字以上のパスワードは必要と一般的に 言われています。またリスト型攻撃はパスワードの使い回しを行っている ユーザの脅威になります。自分でルール(パスワード生成方法や管理方法)を 定め、ランダム(に近い)8文字以上のパスワードをサービス毎に使い分けられる 状態を保てると、攻撃に対する強い耐性を得られると考えられます。 大学や個人情報を多く扱うSNSのアカウントなど特に重要なものだけでも 正しいパスワード管理を行う事をお勧めします。