Vid sådana diskussioner så tänker jag på
https://xkcd.com/936/
Och vill man ha viss slumpmässighet också/eller så kanske en sådan http://www.passwordcard.org/en i plånboken (och bara där) hjälper för delar av eller hela sitt passord - ta ut två (med olika salt) och klistra ihop på varsin sida och när man tar ut kod så tar man en rad på varsin sida av valfri längd (kortsida, långsida, diagonalt, två rader bredvid varandra etc.) - då om någon råkar fotografera av ena sidan så är det fortfarande förbaskat jobbigt ändå om man använder kod även på andra sidan...
Siter som inte tillåter mer än typ 16 tkn som passord bör man överväga att använda annan service då med detta visar att man negligerar användarnas säkerhet/integritet. Det här att site tvingar användarna att använda minst en stor bokstav, siffra och någon icke bokstav/siffra innan godkänd passord ger ett relativt lättanalyserat beteende då många stoppar in stor bokstav i början eller slutet, samma sak med siffror och andra specialtecken och utesluter alternativen där man inte har dessa hinder...
I själva verket minskar man entropin när man försöker tvångstyra folks passordsgenerering och förkastar tex. en 60 tkn lång ordföljd med bara små tecken som odugligt fast den vida överskriden en 12 tkn påhittad slumptal med stor bokstav, siffra och specialtecken i sig (som inte är speciellt slumpmässigt om man granskar det noga) i entropi.
Site skall tillåta långa passfraser på väl över 80 tkn.
Tänk på att ett antal olika och stora (spel)-site har läckt ut användarnas passord i klartext via sql-injektion mfl. angrepp - vi pratar om många 10-tals miljoner passord i klartext som läckt.
dvs. (stora) företagen (som borde veta bättre) haschar inte ens användarnas passord utan det ligger i klartext i deras databas.
Detta har inneburit att folk/krackare/hacker/forskare har suttit och analysera dessa många miljoner passord i klartext och algoritmer som att byta E mot 3 och andra substitutioner etc. och är standard angreppsmetod som man provar och börjar med allra först.
Kort sagt alla 'smarta' uttänkaden för passordsgenering är redan provad av många tusen andra med liknande resonemang - man skall inte tro att man är ensam om dessa...
Passfraser på minst 5 ord - gärna dialektala, ej engelska ord gör det väldigt svårt att gissa från utomstående då en engelsman knappast har en idè hur en mustig svordomsramsa på finska eller dalmål låter, men relativt lätt för användaren att komma ihåg - dels förväntas det inte att passordet är mycket över 16 tkn. då ett sådant helt slumtalsmässigt passord kommer att ta lång tid att mata in, svår att lära sig utantill och oviljan att byta är stor om man väl har lärt sig sekvensen och det går snabbare att skriva efter en tid och folk är lata... skall den dessutom bytas var 3 mån eller så... ...så blir inte ändringarna så stora....
kan man sin passfras så får man in många tecken på ganska kort tid på samma sätt som en mening skrivs i ett forum, efter några gånger tittar man knappt ens på tangentbordet/skärmen och det går i stort sett lika fort som en 8-12 tkn lång passord med slumptecken som inte vill fastna i minnet.