Ich gehe ehrlicherweise nicht davon aus das Apple so ein System, oder ein ähnlich (einfaches/dummes) zur Anwendung bringt. Mir erscheint dieses konstruierte Szenario (oder ähnliche) deutlich unwahrscheinlicher, als das Apple gängige/übliche/zuverlässige Techniken zum Generieren von PWs nutzt.
Die Beispiele waren natürlich mit Absicht simpel gewählt, um das Problem aufzuzeigen - das ändert aber nichts am Problem: Ich würde bei einem externen Anbieter, egal wie groß, lieb und allumsorgend sich dieser gibt, niemals von irgendwas ausgehen, was nicht geprüft/prüfbar ist. Ich verstehe ehrlich gesagt nicht, warum man irgendwelchen kommerziellen Unternehmen, Vereinen oder sonstigen fremden Dritten die eben NICHT alle relevanten Informationen liefern, überhaupt irgendeinen Vertrauensvorschuss gewährt. Am Ende ist Apple nicht vertrauenswürdiger, als der Typ im Bahnhofsviertel, der dir was anbieten will.
Du könntest dein Szenario mit Meldungen (a la "von Apple generierte PWs sind unsicher weil...") untermalen.
Warum sollte ICH das tun? Es ist an Apple die Sicherheit einer Funktion End-to-end zu belegen. In sicherheitsrelevanten Themen gilt es alle Informationen offen zu legen, um eine Prüfung zu ermöglichen. Passiert dies nicht, kann man per se nicht von einem sicheren System ausgehen.
Damit kannst du dir einen Teil des "unsicher, weil..." übrigens ableiten: Vertrauen, Hoffnung, "von etwas ausgehen" stellen keine Form von Sicherheit dar.
Ok, wenn das "kein tragfähiges Sicherheitskonzept" ist... dasnn hilf uns (bzw dem TE) doch weiter und nenne bitte ein solches und warum dies den (welchen?) Sicherheitsanforderungen gerecht wird.
Muss und will ich nicht. Das ist auch irgendwie so eine alberne Mär, dass jeder der zu Recht irgendwelche Fehler, Schwachstellen, Probleme oder was auch immer anspricht/aufwirft, auch eine Lösung präsentieren muss. Wenn dir dein Sicherheitstechniker des Vertrauens sagt, dass dein Wohnungsschloss in 2 Minuten zu knacken ist, muss er dir dennoch nicht auch ein besseres oder gar unknackbares Schloss anbieten können. Übrigens sieht das selbst der CCC so: Der deckt regelmäßig Schwachstellen in Systemen auf - und statt bei vielen Dingen dann eine Lösung zu präsentieren, rät er sogar grundsätzlich an vielen Stellen überhaupt vom Einsatz entsprechender Systeme ab, statt an den Symptomen rumzudoktern.
Es obliegt jedem selbst aus den bekannten Informationen für sich eine entsprechende Handlungsableitung vorzunehmen. Wenn man sich der potenziellen(!) Risiken bewusst ist und dennoch für den Einsatz entscheidet, ist das vollkommen ok. Alternativ kann man auch sagen, dass man zwar Passwörter generieren lässt und diese dann noch modifiziert. Oder, dass man einfach händisch welche erzeugt.
Egal, welchen Weg man wählt: Macht man das in voller Kenntnis und wägt die Risiken für sich ab, ist das ok. Wer Apple da blind vertraut, wird zu einem anderen Ergebnis kommen, als jemand der allen kommerziellen Unternehmen da nur so weit traut, wie er sie werfen kann.
Problematisch ist es, wenn jemand die möglichen Risiken NICHT kennt und sicher daher in (ggf. falscher) Sicherheit wähnt. Darauf habe ich hingewiesen - nicht mehr, nicht weniger.
Mag sein, dass durch die vielen Bindestriche und die eigentliche Länge die Stärke gesichert ist 
