Zonde te weten hoe die code gegenereerd wordt: nee, De code lijkt 7 tekens lang en dat wordt in het algemeen als te kort gezien. Je kan beter de wachtwoord generator binnen een wachtwoord kluis als LastPass, 1Password of KeyPass gebruiken. Dan wordt het ook nog automatisch opgeslagen en ingevuld.

Ook belangrijk is: waarvoor gebruik je het wachtwoord en wil je tegen online of offline (gestolen lijsten met wachtwoord hashes) aanvallen beschermen. Voor online is 7 tekens genoeg mits je account wordt geblokkeerd na 5-10 pogingen.

Mijn eindantwoord: voor het doel om een security NL antwoord insturen (on-line) is het genoeg. Die toepassing heeft echter wel wachtwoord aspecten (als je het makkelijk zou kunnen raden kan je het antwoord insturen), maar het is meer een OCR bescherming.

@TS: Wat je je moet afvragen is, "hoe zit het met de kwaliteit van de Random Number Generator". Of wel de "RNG".
Nu zal die best goed zijn op security.nl, maar omdat het een server is met vele gebruikers, zal er weinig random material zijn per CAPTCHA. Dat maakt het al ongeschikt.
Verder is het beter je wachtwoorden op hardware te genereren die je zelf onder controle hebt. Security.nl weet immers je CAPTCHA want het heeft deze zelf gegenereerd. Verder heeft security.nl SSL, maar ben je niet bang dat je CAPTCHA wachtwoord ergens onderweg weglekt of in je browser cache terecht komt?

Wat ik zelf doe (en ik heb dit al meerdere keren gepost), is GnuPG gebruiken om wachtwoorden te genereren. Want die moet voor mij wel de beste (en meest conservatieve) RNG hebben die er te vinden is. Voor de zekerheid gebruik ik ook nog een gewone 6 kantige dobbelsteen om 6 mogelijkheden per teken in mijn wachtwoord toe te voegen (1-6 posities overslaan). Maar dan nog moet je oppassen dat bijvoorbeeld je wachtwoord (in een .asc file in mijn geval) niet geïndexeerd wordt door een overijverig besturingssysteem. En ik doe een secure wipe nadat ik mijn wachtwoord heb opgeschreven op de .asc file (dit gaat weer mis op een SSD). Ook moet je een beetje weten waar in de .asc file je je wachtwoord tekens kiest. Want het begin en het einde van een .asc file zijn verre van random (het middenstuk is goed).

Ik heb moeite dit makkelijk uit te leggen. Misschien zijn de wachtwoord generatoren die Dick99999 noemt ook veilig genoeg. Ze zijn in ieder geval veel makkelijker te gebruiken als GnuPG/PGP. Aan de andere kant is het natuurlijk altijd handig om een beetje vaardigheden met GnuPG op te doen (Een sleutel aanmaken en daar iets naar encrypten. Een bestand digitaal ondertekenen en de handtekening controleren, etc.).

Wat wel een pluspunt van de CAPTCHA's is, is dat je ze op je harddisk op kunt slaan zonder bang te zijn dat malware deze geautomatiseerd kan uitlezen! Daar is echt een mens voor nodig. Maar dat is dan ook wel het enige voordeel.

Je hebt de puntjes niet meegeteld
:-)

Ja natuurlijk. Het eerste wat ik doe als ik een goed wachtwoord wil hebben is een onbekende en ongecontroleerde bron van het internet gebruiken.

Op een linux systeem kan je bijvoorbeeld dit gebruiken:

dd if=/dev/random count=4096 | openssl sha1

Kijk ook eens naar SoftFuse Password Generator, gratis voor privé gebruik en extreem goed http://www.password-generator.com/free.html

Ik heb ooit eens zelf een password generator geschreven (https://github.com/blikjeham/genpass).
Ik moet er bij zeggen dat ik op een gegeven moment helemaal paranoide los ben gegaan op het verkrijgen van de seed:

Seeden met de tijd, een willekeurig aantal bytes lezen uit /dev/urandom en dat dan weer gebruiken als de seed. Het is behoorlijk overdreven, en er zijn vast wel betere methodes te vinden om een goede willekeur te verkrijgen.

In ieder geval, ik gebruik deze password generator al jaren. Het was sowieso een leuk projectje om de C-programmeertaal een beetje te leren kennen.

Captcha's zou ik niet gaan gebruiken, noch online password generators. Je weet nooit waar de gegevens terecht komen.

Gebruik een wachtzin (passphrase) ipv een wachtwoord:

https://www.certifiedsecure.com/certificatedetails/extra/45/V92

@Anoniem 01:09: Werkt dat ook op widows?

De film van de consumentenbond over wachtzinnen is heel wat beter: http://www.consumentenbond.nl/test/elektronica-communicatie/veilig-online/privacy-op-internet/extra/wachtwoord-onthouden/
Het enige aspect dat daar ontbreekt is dat de woorden van een wachtzin willekeurig gekozen zouden moeten worden.

Anders kan je namelijk niet rekenen aan het geboden gemiddelde beschermingsniveau. Daarom adviseren zij vermoedelijk ook minimaal vijf woorden. Vier willekeurige woorden geeft evenveel bescherming als een wachtwoord van 6-8 willekeurige tekens, zie http://en.wikipedia.org/wiki/Password_strength, tabel "Lengths L of truly randomly generated passwords".
Die tabel geldt niet voor de zinnen van de consumenten bond, omdat daarbij de woorden niet willekeurig gekozen worden!

Vier woorden geeft dus niet veel bescherming, maar als de website blokkeert na 3-10 pogingen geeft het voldoende bescherming tegen online aanvallen, mits die 4 woorden willekeurig gekozen zijn!