Seasmoke : là où je voulais en venir c'est que la personne lambda qui à la base s'en fout, on va lui demander une phrase, elle va mettre une phrase toute simple avec des mots simples (dont noms propres courants) de la même manière qu'elle essaye de choisir d'habitude comme mot de passe toto ou veronique parce que ça la gonfle. Autant on peut l'obliger à mettre un mot de passe avec des caractères bizarres et une longueur minimale en l'engueulant aussitôt si il met un truc bidon, autant on ne peut pas analyser dans l'instant une passphrase et voir si elle est pourrie (il faudrait intuiter là où sont séparés les mots et vérifier qu'un certain nombre est hors dico, au final le seul moyen de le faire c'est d'essayer de le bruteforcer, ce qui évidemment va pas se faire sur le moindre formulaire d'inscription). Si pour palier à ça on commence à parler chiffres et caractères spéciaux, ça me semble perdre son intérêt. Pour moi l'intérêt de la passphrase c'est justement de ne pas penser chiffres et caractères spéciaux et de gagner en intuitivité et facilité à mémoriser. Si c'est pour obliger à mettre des majuscules/minuscules/chiffres/caractères spéciaux ça devient juste un mot de passe plus long (après oui, dans l'absolu de toute manière c'est ça).
En bref, pour tous les gens qui savent pas trop ce qu'ils font, pour ceux qu'il faut assister dans le choix d'un pass fort, je sais pas s'il y a un gain significatif, car la sécurité n'est pas le seul paramètre à considérer. Pour toute personne qui sait ce qu'est un bon password/passphrase oui bien sûr.
On peut comparer les profils de password/passphrase avec ça https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html