On Tue, Feb 07, 2017 at 08:11:21AM +0300, Sergey Matveev wrote:
> 
> Вы совершенно правы. Увы, моя практика показывает, что в нашей целевой
> аудитории люди воспринимают слово "фраза" как "больше одного слова",
> то есть, два.
...
> Таким образом, я вполне согласен с вами, но специфика подачи материала
> для аудитории требует от нас определенных упрощений. И да, возможно,
> мы чересчур упростили. Будем улучшать, спасибо.

Попробую оценить энтропию (с удареньем на "ю").

Человек из целевой аудитории знает на память не больше 2^13 строк.
при полностью случайном выборе от двух до пяти последовательных
строк получается 15 бит. личные правила замены букв --- это ещё
4..5 бит на пароль. всего тянет на 20 бит. это чуть меньше, чем
4 случайные буквы из верхнего и нижнего регистров. если допустить,
что цитата начинается и кончается не на границе строк, а на границе
слов, это эквивалентно ещё одной случайной букве. может быть,
им столько и нужно, но это несопоставимо с тем, что получается
способом 2 (там выходит 65 бит).

Предлагается два вывода:

(0) хороший пароль в памяти человека в готовом виде не содержится,
его приходится запоминать заново;
(1) такой пароль нужно создавать не на месте, а заранее, за несколько
недель до первого использования. это позволяет (а) воспользоваться
настоящим генератором случайных числел и (б) убедиться, что пароль
надёжно удерживается в памяти.