se trovano cosi facilmente le password, gli conviene andare su un bancomat piuttosto che entrare semplicemente in una pagina protetta...  

c'è qualche link di test , pdf o altro che dimostra la difficoltà per "bucare" un sito?

non vorrei raccontare info errate

...con la versione 16 è stato introdotta la funzionalità per le regole da imporre agli utenti nella generazione delle password...

più è complessa e più aumenta il tempo per trovarla...

Non esiste un controllo sui numeri di tentativi che blocca poi l'account o ti avvisa , ma

sta all'utente mettere una password complessa e non riconducibile a lui... e a te imporre le regole nel tuo progetto (come impone il GDPR, o superiori)

in ogni caso dovrebbero indovinare mail e password ...

Poi è tutto relativo ...

e proporzionale al tipo di dati trattati in queste pagine protette...

io mi riferivo a quanto è facile o no (come spero) "bucare" i files che gestiscono le utenze , non alla complessità delle password

Con un protocollo https è difficilissimo bucare, le pagine che gestiscono le password sono in php e quindi sicure: il contenuto è tenuto nascosto all'utente. Però la sicurezza al 100% non esiste.