Il fatto che debbano essere preferibilmente alfanumeriche mi è confermato da più parti.

Al di là del conteggio della password ottimale che per ora è superfluo per le mie esigenze, chiedevo proprio una lunghezza standard consigliata che credo potrebbe essere dai 5-6 fino ai 10-12 caratteri...

Oltre ad avere il js che indica la lunghezza ottimale hai messo anche il controllo che la password sia alfanumerica? E se l'utente ignora l'aiuto della lunghezza ottimale hai messo un numero massimo di caratteri? Se sì (ma immagino di sì) quanti?