ad 1. i tak. Uvidíš.
ad 2. to tě naprosto chápu a souhlasím. Nejlepší security je vlastní security, ne to, že se spolehneš na dodavatele (pak to končí srandami jako únik plaintextových databází hesel a tak).
ad 3. Já bych s tou délkou hesla byl opatrný. Ona totiž ne nutně vyjadřuje reálnou bezpečnost klíče - to záleží na použitém hashi, použitých znacích apod. Obecně sice platí, že delší heslo je bezpečnější, ale výjimky, jako vždy, existují. Krásným (dnes už víceméně historicko-studijním) příkladem je LM-hash.