Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?

Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja!

Nein, garantiert nicht. Ja, es gibt Sicherungen, die der Server implementieren kann, um sich vor automatisierten Loginversuchen zu schützen. Trotzdem werden Accounts immer wieder durch Anmeldeversuche gehackt, weil die Passwörter schwach sind (d.h. üblicherweise in einem Dictionary mit den 500 meisten Passwörtern enthalten sind). Letztlich hängt ein Gros der Sicherheit vom Passwort ab. Damit daran nicht alles hängt, gibt es Verfahren wie die bereits genannte Two-Factor-Authentication.

Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf.

Ich habe in https://forum.selfhtml.org/?t=217971&m=1499084 beschrieben, dass es verschiedene Angriffsszenarien gibt, und welche für welche Passwortstärke relevant ist.

Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.

Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?

Ich habe Artikel verlinkt, die verschiedene Passwordstärken-Messer vergleichen.

Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

Das widerspricht sich.

Tut es nicht. Hast du dir die verlinkten Quellen überhaupt angesehen?

Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

Trojaner auf dem PC …

Das ist alles bekannt und dokumentiert. Was willst du damit sagen? Passwort-Manager einzusetzen ist nichtsdestoweniger empfohlene Praxis. Es ist nicht ihr Ziel, gegen solche Angriffe zu schützen.

Mathias