Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?

Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja!

Nein, garantiert nicht. Ja, es gibt Sicherungen, die der Server implementieren kann, um sich vor automatisierten Loginversuchen zu schützen. Trotzdem werden Accounts immer wieder durch Anmeldeversuche gehackt, weil die Passwörter schwach sind (d.h. üblicherweise in einem Dictionary mit den 500 meisten Passwörtern enthalten sind).

Kein Problem =) dann kann man ja genau diese Dictionary Passwörter ausschließen.

Letztlich hängt ein Gros der Sicherheit vom Passwort ab. Damit daran nicht alles hängt, gibt es Verfahren wie die bereits genannte Two-Factor-Authentication.

Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf.

Ich habe in https://forum.selfhtml.org/?t=217971&m=1499084 beschrieben, dass es verschiedene Angriffsszenarien gibt, und welche für welche Passwortstärke relevant ist.

Du hast dort nicht geschrieben, was nun überhaupt gesichert werden soll. ;)

Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.

Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?

Ich habe Artikel verlinkt, die verschiedene Passwordstärken-Messer vergleichen.

Also keine Zahlen.

Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).

Das widerspricht sich.

Tut es nicht. Hast du dir die verlinkten Quellen überhaupt angesehen?

Kannte ich schon vorher. Tatsache ist: Regeln, die einen Menschen ein Passwort besser merken lassen, kann man auch für einen Bruteforce Algorithmus nutzen. Was nicht bedeutet, dass so ein Passwort "unsicher" ist, aber es erhöht trotzdem die Chancen des Angreifers im Vergleich zu einem wirklich zufälligen gleichlangen Passwort.

Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

Trojaner auf dem PC …

Das ist alles bekannt und dokumentiert. Was willst du damit sagen?

Dass diese Lösung neue Nachteile mit sich bringt. Z.B. auch, dass man den Passwortmanager nicht immer dabei hat - und auf dem Smartphone sind die Risiken imho noch größer, dass jemand anderes an die sensiblen Inhalte gelangt. Und vergisst man das Masterpasswort, sind alle weg. Usw. Ich will damit nur sagen, so einfach ist es nicht.