Trabajo en la investigación de contraseñas y he revisado extensamente los documentos relacionados con zxcvbn y los de otros investigadores en el campo.
Sí, la respuesta referenciado por @Arminius es correcto al resumir por qué este enfoque apunta a mejorar la seguridad sin comprometer la memorización. Por favor, eche un vistazo.
El núcleo de su pregunta es si sería fácil crear un diccionario que craque esas contraseñas con 4 palabras de diccionario diferentes.
Es cierto que el argumento principal de los enfoques anteriores solo aborda el modelo de amenaza "Fuerza Bruta", calculando así la entropía sin ninguna consideración para un atacante que tiene acceso al diccionario inicial.
Su enfoque parece sugerir que todo lo que importa es la "fuerza" de la contraseña sin tener en cuenta cómo se llevan a cabo los ataques reales.
Bruce Schneier hizo un resumen interesante de comentarios anteriores sobre esto.
Se vuelve más y más si, como dice su premisa, "todos están usando ese esquema" y el atacante lo sabe.