Hi,

Was noch die Frage aufwirft wie man die Effizienz der Routinen (regelmaessig und automatisiert) ueberprueft, die sicherstellen sollen, dass der Nutzer ein sicheres Passwort erfasst hat.

Man macht das einfach bei der Vergabe und der Änderung eines Passwortes.

Datenhaltungen haben den starken Drang mit der Realitaet, die sie abbilden, auseinanderzulaufen. D.h. irgendwann kann man mit absoluter Sicherheit davon ausgehen, dass die moeglicherweise einstmals erfassten sicheren Kennwoerter (zumindest in Teilen) unsicher sind. Das ist ein Naturgesetz und am besten ist es bei wichtigen Daten gleich von Anfang an Jobs einzurichten die regelmaessig auf "logische Datenkonsistenz" pruefen.

"Irgendwo" sollten die Passwoerter also doch gespeichert werden, oder?

Nie im Leben[tm]

Och, man koennte ja vielleicht neben dem Hauptsystem ein (extrem ;-) wiederverwendbares Sekundaersystem fahren, das den Anmeldevorgang, also die Identifizierung, Authentifizierung und Autorisierung managt. Und diese zweite System, das ganz besonders gut an die Anforderungslage angepasst ist, also extrem sicher ist, koennte ja Passwoerter im Klartext speichern und Pruefungsanforderungen auf logische "Datenkonsistenz bearbeiten".

Gruss,
Ludger