Lavoro sulla ricerca delle password e ho esaminato ampiamente i documenti relativi a zxcvbn e quelli di altri ricercatori nel campo.
Sì, la risposta riferito da @Arminius è corretto nel riassumere perché questo approccio mira a migliorare la sicurezza senza compromettere la memorabilità. Per favore, dai un'occhiata.
Il nocciolo della tua domanda è se sia facile creare un dizionario che incrina quelle password con 4 parole del dizionario diverse.
È vero che l'argomento principale degli approcci di cui sopra affronta solo il modello di minaccia "Bruteforce", quindi calcola l'entropia senza alcuna considerazione per un utente malintenzionato che ha accesso al dizionario iniziale.
Il loro approccio sembra suggerire che tutto ciò che conta è la "forza" della password senza riguardo a come vengono effettuati gli attacchi effettivi.
Bruce Schneier ha fatto un riassunto interessante dei commenti precedenti su questo.
Diventa ancora di più se, come dice la tua premessa, "tutti usano questo schema" e l'attaccante lo sa.