Das muss man wie üblich mit einem "kommt darauf an" beantworten. - Eine Prüfung der Sicherheit würde ich eher Deinem gesunden Menschenverstand zutrauen, als einem Prüfsystem.
Von den "Sicherheitsprüfern" für Passworte halte ich nicht viel. Die haben ihre Algorithmen, und wenn man es schafft, den Algorithmus auszutricksen, wird Sicherheit vorgegaukelt, wo keine ist. Wenn so ein Prüfer auch noch online angeboten wird, dann komme ich ins grübeln. Soll ich mein Passwort einer solchen Website anvertrauen?
Ich halte auch nichts von der Verwendung von Passwortgeneratoren, denn auch die haben ihre technischen Grenzen. Jeder Zufallswert, der von einer Maschine erzeugt wird, ist nur pseudozufällig.
Das Passwort selber darf nicht "einfach so" erratbar sein. Worte, die sich im Duden oder in einem Wörterbuch finden, oder die etwas mit dem Benutzernamen zu tun haben, scheiden aus (z.B. "abwaschen"). Wortkombinationen, die ebenfalls mehr oder weniger gut nachschlagbar sind, sind auch nicht gut genug (z.B. "HundKatze").
Man sollte einen Buchstabenmix (klein, gross) mit Ziffern und wenn möglich Sonderzeichen nehmen, der möglichst zufällig ist. Die "trickreichen" und aus optischen Gründen einfach zu merkenden Substiutionen sind auch schon bekannt (z.B. B = 8, E = 3, I = 1, S = 5, O = 0, g = 9, T = 7; Passwort -> P455w0r7)), sodass ich sie nicht mehr für vertrauenswürdig halte. Sie können auch verwendet werden, aber nicht nur.
6 Zeichen sind schon sehr sparsam, man kommt damit auf vielleicht 32 bit. Die Rechnung ist dabei nicht 1 Zeichen = 8 bit. Vielmehr läuft es eher so: Englisches Alphabet (2 x 26 Buchstaben klein/groß) + 10 Ziffern = 62 Zeichen, und die bringt man auf 5 bis 6 bit unter. 32 bit sind ca. 4 Mrd Varianten, und die kann man im Einzelfall durchiterieren ("brute-force-Angriff"). - Das Passwort sollte also lang sein.
Laut Rechenbeispiel bei
http://de.wikipedia.org/wiki/Passwort#Sicherheitsfaktoren
können sechsstellige Passworte u.U. in weniger als 1 Minute geknackt werden. Bei rein alphanumersichen Kennworten wird es ab 10 Zeichen interessant (27 Jahre). Damit es gut zur Sache geht, sollte man sich eher bei 12 Zeichen oder mehr bewegen, besser noch bei Passwortphrasen.
Ich selber halte einen Sprachmix mit Dialektausdrücken, eingestreuten Ziffern und ein paar zufälligen Zeichen für sinnhaft (z.B. wUrschT3feeds5HunDerl22). Man kann auch seine Telefonnummer durch das Sterbedatum der Oma teilen und mit Pi multiplizeren und davon die ersten 15 Stellen nehmen und den Namen der Nachbarskatze reinschütteln. Alles leicht zu merken bzw. zu reproduzieren aber schwer zu knacken.
Bei online-Services kann man auch den Domain-Namen im Rahmen eines Algorithmus in ein Passwort umrechnen. Man muss sich den Algorithmus merken, nicht das Passwort.
Wenn Du immer das gleiche Passwort für verschiedene Services benutzt, dann hilft auch das beste Passwort nicht. Denn, wird es bei einem Service geknackt (z.B. keylogger im Cybercafe), dann kommt man damit an alle services.
Es kommt auch sehr auf die weiteren Abwehrmaßnahmen des geschützten Contents an. Wenn es z.B. einen security counter gibt, der nach drei Fehlversuchen für einige Minuten oder gar dauerhaft den Zugang sperrt, haben hackende Mitmenschen schwere Zeiten. Wenn aber z.B. ein gestohlener Datencontainer geknackt werden soll und jede Sekunde können hunderte Millionen Passworte (z.B. mit zweckentfremdeten Grafikkarten, s. den Wiki-Link) getestet werden, muss man sich was besseres als "Susi123" einfallen lassen.
Wenn das Zielsystem dumm ist und das Passwot als zu kurzer hashwert abgesepeichert wird, muss der Angreifer nicht einmal das Passwort erraten. Es reicht, wenn er nur irgendein passwort errät, das den Hashwert erzeugt. Wenn dann womöglich noch der Hash-Algorithmus schlecht ist, sodass die Bitbreite nur teilweise ausgenutzt wird (sprich: manche Hashwerte lassen sich nicht generieren) oder ein mathematischer Angriff möglich ist, hilft gar nichts mehr. Aber eigentlich sollte man sich darüber nicht den Kopf zerbrechen, man hat ja keinen Einfluss auf das Zielsystem.
Das beste Passwort hilft nichts, wenn es ausgespäht werden kann. Ein guter Schutz geht also schon mit einem sauberen Rechner und damit aktuellem Virenscanner los.