De acuerdo con este artículo DropBox recomienda usar cuatro elementos comunes aleatorios palabras como contraseña. Creo que es bueno si solo lo hago. Si todos lo hacen, los atacantes siempre harán un ataque de diccionario (diccionario real), y será muy fácil de descifrar (número de palabras comunes ^ 4).
Entonces, ¿es seguro o no? Cuando el atacante sabe que esto es lo que estás haciendo?
Trabajo en la investigación de contraseñas y he revisado extensamente los documentos relacionados con zxcvbn y los de otros investigadores en el campo.
Sí, la respuesta referenciado por @Arminius es correcto al resumir por qué este enfoque apunta a mejorar la seguridad sin comprometer la memorización. Por favor, eche un vistazo.
El núcleo de su pregunta es si sería fácil crear un diccionario que craque esas contraseñas con 4 palabras de diccionario diferentes.
Es cierto que el argumento principal de los enfoques anteriores solo aborda el modelo de amenaza "Fuerza Bruta", calculando así la entropía sin ninguna consideración para un atacante que tiene acceso al diccionario inicial.
Su enfoque parece sugerir que todo lo que importa es la "fuerza" de la contraseña sin tener en cuenta cómo se llevan a cabo los ataques reales.
Bruce Schneier hizo un resumen interesante de comentarios anteriores sobre esto. Se vuelve más y más si, como dice su premisa, "todos están usando ese esquema" y el atacante lo sabe.
Lea otras preguntas en las etiquetas passwords authentication hash