Es ist schon richtig, das ich mich hier viel zu stark auf mein Gefühl, statt auf mathematisch belegbare Methoden verlassen habe. Zumindest was das Kernproblem "ccc" angeht.

Dein letzter Post ist da für auch nochmal deutlicher, was das Problem bei einer Bewertung angeht. Auch das ich bestimmte Angriffsmethoden vorausgesetzt habe und andere quasi ausgeschlossen (z.B. Verwendung eines sehr stark eingeschränkten Zeichensatzes), war wohl nicht zielführend.

Satttttttty fällt quasi aus der Bewertung, weil es zwar sicherer sein könnte als Satty, es aber nicht belegbar ist bzw. nicht alle belegbaren Sicherheitsmerkmale erfüllt.

***

Im Eingabe-Dialog für das Masterpasswort will ich nicht auf eine Bewertung verzichten. Ich müsste dort halt dem Anwender klarmachen, das ich nicht ungenau bewerte (wie es für Unwissende fälschlichweise aussieht), sondern nur nach belegbaren Kriterien bewerte (wenn ich PassphraseQuality verwende).