一般に使われている One-Time Password システムでは、 通常の UNIX パスワードよりも長いパスワード文字列を使えるようになっています。 通常の短いパスワードと区別するため、長いパスワードを 「パスフレーズ」と呼びます。
通常の UNIX では、パスワード文字列は 8 文字までに制限されています。 最高でもたった 8 文字なので、現在最高速な計算機でなら総当り攻撃が可能です。 そして、現在最高速な計算機は、 ほんの数年もすれば個人でも購入できてしまうことが予想できます。
そこで、One-Time Password システムでは通常より長いパスワード、 すなわちパスフレーズが使えるようになっています。 どのくらいの長さまで使えるかは実装に依存しますが、 通常 20〜30 文字くらいは使えるはずですし、 rigs の One-Time Password では 127 文字まで使えます。 しかし、Macintosh 用や MS Windows 用の One-Time Password 計算プログラムでは 20 文字程度しか扱えないものもあります。
対クラッカーという観点からは「より長いパスフレーズ」 を選択するのがよいのですが、 一方で「長いと忘れやすい、打ち間違える」というのも事実です。 まぁ、12,3 文字から 20 文字 (そのうち特殊文字 1 文字以上) といったあたりがひとつの目安になろうかと考えます。