Men det behöver inte vara ett krångligt lösenord med siffror, stora bokstäver.
Om du har lösenordet "123" och "abc"; vilket är enklast att bruteforcea?
Det beror ju på hur tablen ser ut, men antagligen provar den första 0-9, a-z i varje.
så
1
2
3
osv.
a
b
c
osv.

det finns fler bokstäver än siffror, alltså tar det längre tid att knäcka 29 ^ 4 än 10^4, sedan så är det klart bra med stora bokstäver, då blir ju (29 ^ 2)
^4

Bygg meningar, använd struktur och bygg meningar.
Och bygg meningar.

mittWN.seLösenord123 är t.ex. jättesäkert och uppfyller alla krav som finns.

Använd liknande struktur i alla "osäkra" lösenord, för att sedan bryta mönstret då och då, i slutändan kommer du ha sajt-unika lösenord, starka som attan och allt du behöver komma ihåg är mönstret på lösenordet.

mittWN.seLösenord123
mittSwedbankLösenord234
mittHamsterpajLösen666
annatWN.seLösenord123
tredjeHemligaWN.seLösenordet123

Etc. 97.8% av sajterna tillåter även whitespace i lösenorden eftersom dom hashas direkt - vilket gör det möjligt att faktiskt använda "Det här är mitt WN.se lösenord" - som lösenord.

Alla dessa lösenord är förövrigt tiotals gånger starkare än t.ex. "Wi7Ä^w/e3&" - främst pga. att dom är flera gånger längre.


EDIT: En annan bra lösning är att köra 1Pass eller Lastpass (eller liknande tjänst) - gärna med 2-factor auth påslaget, som t.ex. lastpass + yubikeys

:)

http://imgs.xkcd.com/comics/password_strength.png

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen :) Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Sätta ihop ord kräver mindre än att slumpa bokstäver. Det finns betydligt färre ord än vad det finns bokstavskombinationer :) Dessutom börjar man lämpligtvis med de vanligaste orden. Nu kanske jag överskattar ligisterna men det finns nog några som är lite smartare.

Den sätter ju ihop flera ord och testar...

Aha, men då kommer nästa fråga (jag är inte så jättehaj på krypteringsalgoritmer/hashning/lösenordsknäckning); det lär finnas väldigt många fler ord än det finns tecken och om man sätter ihop 8 tecken vs. 4 - 5 ord, blir ordvarianten mer svårknäckt än teckenvarianten?

Ja.

"Det var en gång en liten fisk!"
är mycket mer svårknäckt, både med ordlistor och (omöjligt med) bruteforce än
"Dvegelf!" - till att börja med så vet ju personen som sitter med en hash i handen inte att det är en mening.

Mer entropi == bättre lösenord, alltid.