Мы в своем продукте после долгих споров предлагаем
использовать "метод
XKCD": http://xkcd.ru/936/
Этот подход дает довольно большую энтропию в пароле.
Относительно большой энтропии - вопрос. Словарь
среднего человека содержит около 2000 слов. Если пароль
содержит 4-ре слова то это эквивалентно случайному набору
символов [a-z0-9] длинной 9 символов, из 5-ти -
одинадцати. При этом, выбор этих случайных слов, скорее
всего будет совершенно не случайным. Скорее всего в него
будут включены слова из повседневноего рациона - небольшой
словарь порядка 400-500 слов. Таким образом энтропия фразы
сильно падает.
Или этот вопрос как-то обходится?
в нашем случае - уже предлагается выбор случайных (!) слов из
словаря, гораздо бОльшего размера.