パスワードが何桁あれば充分かっていうのはすごく場合によりけりな話。
パスワードに数字だけ使う場合と、大文字小文字のアルファベットと数字+αを使う場合では必要な桁数が異なってくる。
パスワードマネージャとかwebサイトで使うパスワードは、パスワードにランダムな文字列をくっつけて鍵導出関数(pbkdf2とかargon2)で変換してから保存してる。
鍵導出関数の計算に時間がかかるようにパラメータを設定してあれば8桁ぐらいのパスワードでもパスワードを求めるのに凄く時間がかかるし、
逆に鍵導出関数がsha1みたいな計算に時間のかからないハッシュ関数を使ってると20桁ぐらいのパスワードでもあまり時間がかからずに求めることができたりする。
keepassだとどの鍵導出関数を使っているかわかるけど、一般のwebサイトではどうやってパスワードを保存しているかはわからないから一概に何桁あればOKなんて言えないと思います。