j'ai toujours apprécié l'utilisation des phrases (et mots multiples) en mots de passes (même si on est limité en nombre de caractère)
mais en pratique, cela ne change pas grand chose point de vue sécurité, les gens ont de toute façon une très mauvaise imagination
il faut démocratiser la double authentification (le token+pin, j'imagine que c'est ce que fait orange, avec la livebox en guise de token, mais je ne l'ai pas étudié), mon espoir étant l'initiative browserID de firefox, un gros plus en sécurité (certes imparfait, cela ne leur sera jamais) avec un bénéfice en expérience utilisateur, soit le contraire de ce que certains "experts sécurité" vendent
c'est gagnant gagnant