パスワードを使っている以上セキュリティには限界があるでしょう。 普段使ってるパスワードのビット数を計算してみれば分かると思うけど。log2(範囲 * 長さ)、数字だけだと範囲は10とおり、大文字小文字混ぜて +50、記号いても +20？ で、一般人ってのはびっくりするぐらい簡単なパスワード使ってたりして、辞書語はその分ビット数差し引いた方がいい。ていうか、辞書語の有効なチェック方法すら確立されてなかったり。CrackLib ってイマイチらしい。

兎に角、長ければ安全だけど、長いと誰も使わない。好きなフレーズの頭文字を取るって手法も使ってるのはごく一部の人だけの気もする。

それは Microsoft も分かっていて、RSA セキュア ID と連携することを発表したような気がする。数桁の数字を打ち込むと、タイマーで毎分変わる数字が表示される。what you know （知ってること）と what you have （持ってるもの）を両方使った認証。 企業で内部のデータをアクセスするのに使っている所もあるけど、こういうのが一般向けにもこれから出てくるのでは？ 当然統一されないと普及しづらいわけで。