nem sok különbözteti meg a random passwordtól
Már hogyne különböztetné meg. Emberként is simán látod rajta, hogy trubadúr. Ennek kb. inkább semmi köze sincs egy random passwordhöz.
Nagyságrendi számolás. Mondjuk legyen tízezer szó, ami szóba jöhet. És legyen minden karakternek 3 helyettesítője. Akkor tíz karakteres szóra nézve ez 10000 * 4^10 = 10 millárd lehetséges jelszó (azért 4 az alapja a hatványozásnak, mert az eredeti karakter + 3 helyettesítő, ezt az előbb elrontottam). De ha csak pár karaktert cserélsz le, nem mind a tizet, máris sokkal kevesebb. És hiába szúrsz be 1-2 helyre plusz karaktert, attól az még simán a végignézhető kategóriába esik. Nem azt mondom, hogy minden ilyen módon előállított jelszót fel lehet törni (ha valami olyan transzformációt csinálsz, amire nincs felkészülve a jelszókereső). De hogy egy jelentős részüket igen, efelől nincs kétségem.