这实际上取决于站点、存储的信息级别以及记录的 TTL（生存时间）。Google 倾向于为人们处理很多不同的帐户：gmail、YouTube、博客、Android 帐户、搜索历史、联系人、日历等；鱼叉式钓鱼者想要的所有东西。同样，他们的应用程序Google Authenticator也经常更改密钥。

您的税务网站可能是出于安全的假象，但如果两个因素受到损害，他们可能有正当理由，例如假设您正在手机上使用应用程序，而您的电子邮件发送到您的手机和您的手机被盗了，那么密码的长度真的无关紧要。但是，如果 TTL 很长，那么如果该站点没有能力阻止某个人暴力破解特定帐户的 DDoS 掩码，那么使用更长的密钥长度是个好主意。如果信用系统与各州的信用系统类似，那么他们正在努力保护您的身份。

如果 TTL 很短，那么较短的数字是可以的。因此，如果他们有 30 秒的时间来猜一个 6 位代码，那么发生意外碰撞的可能性就会降低。大多数网络服务器不允许每秒尽可能多的连接来暴力破解长度超过几个字符的密码，除非它们是商业的。商业服务器倾向于允许更多同时连接到同一个数据库。

理想情况下，应用程序框架会注意到多次尝试入侵并立即锁定帐户，因此再次返回 UX，时间不会太长，但也不会太短。