Nicht die Nutzung von Sonderzeichen im Passwort erhöht die Sicherheit, sondern die Freigabe möglichst vieler Zeichen und einer möglichst großen Länge seitens des Providers.
Ob man letztendlich ein Sonderzeichen nutzt, ist egal.
Einschränkungen wie "Keine Zahl an erster Stelle" oder "Es muss ein Groß, ein Kleinbuchstabe eine Ziffer und ein Sonderzeichen drin sein" machen genau das: sie schränken die Anzahl der Passwörter ein, und damit die Sicherheit.
Angenommen, ich hätte ein 2-stelliges PW, und ich müsste die beliebte Regel "Es muss mindestens eins der folgenden Gruppen: GROß, klein (, 123 & Sonderzeichen) enthalten sein" umsetzen, dann hätte ich anstatt
"AA"-"zz" nur die Möglichkeiten "Aa - Zz" und "aA - zZ", und das sind viel weniger.
Ein weiteres Zeichen erhöht aber die Sicherheit um den Faktor "Anzahl der möglichen Zeichen".
Es ist also sinnvoller ein langes PW zu nutzen, als eines das u.U. nicht benutzt werden kann, weil die Regeln nicht passen oder es evtl. Sprachprobleme gibt.
Und mal nebenbei: Sich mit ewig langen zufälligen Zeichenfolgen zu quälen ist ebenso sinnlos.
Es gibt ja nur wenige Möglichkeiten, wie ein Account gehackt werden kann:
- Brute Force. Hier hilft eine große Passwortlänge, ja. Aber die Abfrage wird durch Zeitverzögerungen und Einlogzähler beschränkt, ein Bruten selbst eines 1-Stelligen Passworts nur aus einer Ziffer sollte unmöglich sein, ansonsten hat der Provider seine Hausaufgaben nicht gemacht.
- Social Engineering o.ä.: Das PW wird dir per Trojaner geklaut. Ist doch egal, ob der Trojaner "öksnflj43poifuz854i0645in6te9f8gv7z6ed8fz6t87h69iu4n59g8efzg8ei58" abschaut, oder "123456".
- Datenbankeinbruch: Ebenso egal. Das PW wird gehasht, und ein Hash sieht immer gleich aus, egal welches PW dahinter versteckt ist. Zum Knacken von Hashes gibt's Tabellen, oder man muss offline viel rechnen, und auch da ist egal, wie der Hash generiert wurde.
- Serverhack: Da ist es egal, ob überhaupt ein PW im Account ist.
Ein PW verhindert also immer nur, das jemand der neben dir steht dein PW erraten kann. Und dann darf es ruhig ein Merksatz sein, so dass "ich" nicht aus "12-456" das leider nicht gesehene Zeichen erraten kann, aber alles darüber hinaus ist völlig sinnfrei und macht es nur dem rechtmäßigen Benutzer schwer.
"Mein Vater erklärt mir jeden Sonntag unsere neun Planeten" ist ein Supi Passwort: "MVemjSu9P" erfüllt 3 Standardregeln, ist knapp ausreichend lang, leicht zu merken, auf jeder Tastatur und in jeder Sprache blind fehlerfrei zu tippen.
Noch besser wird's mit 2FA, aber das ist eben nicht automatisch zu nutzen.