Sí, tienes razón y sí, te estás perdiendo algo.
Claro, puede aumentar fácilmente la multiplicidad de entropía utilizando una lista de palabras más grande; también puede lograrlo utilizando frases de contraseña de 8 palabras, o simplemente utilizando bytes de entropía sin procesar directamente sin las palabras.
El punto entero de ese xkcd es saldo .
Equilibrio entre "suficiente entropía" y "bastante fácil de recordar".
Podría argumentar si 44 bits es suficiente entropía, o si necesita más. Pero si es así, debe tener en cuenta el costo no despreciable de la memorabilidad reducida. Siempre es una compensación.
Como dije en mi respuesta a la pregunta canónica sobre XKCD 936 :
Regla de usabilidad de AviD:
La seguridad a expensas de la usabilidad viene a expensas de la seguridad.
Así que sí, siga adelante y use el lenguaje completo como su diccionario, pero está pagando un precio que muchos consideraría una mala compensación.
Como Randall (autor de xkcd) explica aquí ( y de acuerdo con muchos estudios sobre el tema), lo estaba basando no solo en todas las palabras posibles en un diccionario, sino en palabras que son FÁCILES de recordar (y tipo, agregaré).
Otra opción, más agresiva que xkcd pero no tan ridículamente difícil como el lenguaje completo, es algo como diccionario de Diceware : más de 11 bits por palabra, pero no mucho más (poco menos de 13 bits).
Entonces 4 palabras de eso serían ~ 51.5 bits. O bien, tome otra palabra simple y obtenga una entropía de casi 65 bits.
Sí, eso lo mejora un poco, sin costar mucha facilidad de uso, ya que aún se adhieren a palabras cortas y comunes. (En lo personal, todavía hay algunas palabras de "relleno", como números, que preferiría prescindir).
Como siempre, se trata de equilibrio.