> Kivéve, hogy az összes toldalék egymástól többé-kevésbé független (kivétel pl. a meg prefix, ami csak igéhez/igenévhez társulhat), innen jött fent a 2^15. Lehet, hogy lesz közte egy csomó értelmetlen vagy annak tűnő kifejezés (pl. a szenttelen marha hülyén hangzik, de még mondatba is tudom foglalni, hogy értelmes is legyen: "A református egyház szenttelen" [nem ismeri el a szentek létezését], "A református egyház az európai kultúra szenttelenítésére tett kísérletet" stb.), viszont egy jelszótörőnek végig kell próbálnia mindet, mert nem tudja eldönteni, hogy melyik a) helyes szintaktikailag, b) értelmezhető és c) ténylegesen használt a nyelvben.
Ez igaz, csak azt felejted el, hogy multi-szótár esetén ezek kihullanak az első körben. És a legtöbb ember nem azt fogja beírni passphrase-nek, hogy "A református egyház szenttelen". (Egyébként a szenttelen nyelvtanilag 100% korrekt, csak nem használatos, helyette a kétszavas szent nélkülit használjuk, de ez off...)
> Mert ha nem ezt teszi, hanem tényleg csak egy valamelyest bővített szótárat fog (a 2^15-ből nem hiszem, hogy 10-20 lenne az egy-egy szótári szóhoz tartozó képzett alak), akkor egy sima toldelék megakasztja és megyünk vissza a karakterszintű brute force-ra, ahol a passphrase a hossza miatt nyer.
Ez lehet. De itt már megint kezdünk elrugaszkodni attól a vérprimitív passphrase koncepciótól, amit az XKCD felvázolt és nem az volt a kérdés, hogy lehet-e passphrase-et úgy kreálni, hogy verje a sima jelszavakat (még az XKCD-t cáfoló cikkben is adtak példát), hanem az, hogy pár darab, mindennemű trükközés nélkül leírt hétköznapi szó erősebb lesz, mint egy near-garbage password. Nem, nem lesz az.
> Ráadásul magyar nyelv különlegességei 2: szóösszetétel. Nagyon nem ritkák a 3-as szóösszetételek (ugyebár még szabály is van az elválasztásukra), tehát a szótárnak vagy alapból tartalmaznia kell megint legalább a gyakran használt szóösszetételeket, vagy a programnak on-the-fly végig kell próbálnia az 1/2/3 tagú szóösszetételeket - vagyis egy négy, szóhatárolókkal elválasztott izét tartalmazó magyar kifejezés esélyesen 12 szótári szót tartalmaz, amiből bármelyik lehet ipari mennyiségben toldalékolt... úgyhogy egyre veszélyesebben nagy a keresési tér.
Amennyiben ezeket az iterációkat szolgai módon csak "tárolja" a rendszer, akkor azzal csak hozzáadtál egy szót a szótárhoz. És az kb. tökmindegy, hogy 5000^4 vagy 5001^4.
> Pl.: a "kecskefőzeléktelenített ragu levest eszem" passphrase már egészen "sok sikert" kategóriás, de relatíve rövid és teljesen jól megjegyezhető.
Hát azért a magyar helyesírási viszonyokat elnézve megnézem, hogy az első szót hányan írják be hibátlanul mondjuk 10 próbálkozásból...de legyen. Csakhogy: "J3g3sm3dv3p3cs3ny3?!" Ez 20 karakter és teljesen simán megjegyezhető és még az átlagember is le tudja írni, hogy jegesmedve, meg pecsenye, csak egybe, felkiáltó kérdésben, az e betűket 3-asokra cserélve, viszont a törő a túloldalt majd ugyanúgy 95 elemű készlettel dolgozik. 95^20=3.58486×10^39 Ehhez nem lesz elég 4 szó, még magyar szótárral sem. Főleg, ha itt is van "alap" szótár.