Moin Moin!

Das mit dem Zeichensatz finde ich jedes Mal ziemlich unsinnig, wenn ich von einem Server dermaßen eingeschränkt werde.

Ebenso Höchstlängen. Wenn sich jemand ein 50-stelliges Passwort quer durch alle Planes des Unicode merken kann, schön, dann darf er/sie gerne bei jedem Login 50 Zeichen in die Tastatur hacken und sich dabei die Finger verknoten. Mir ist das aus Entwickler- und Programmierersicht völlig egal, das Passwort geht zusammen mit einem zufälligen Salt sowieso durch irgendeine Hash-Funktion, und die stört sich an ein paar Bits mehr nicht. Natürlich kommt man irgendwo an eine Grenze, bei der affenartig lange Passworte zu einem DoS ausarten, also setze ich auch irgendwo eine Höchstlänge an, die aber weit jenseits von Gut und Böse ist. 256 oder 1024 Zeichen, oder etwas in der Richtung.

Was vergibt man sich denn als Admin, x-beliebige Zeichen zuzulassen? (Vorausgesetzt, man hat seine Kontextwechsel im Griff.)

Das dürfte eines der Hauptprobleme sein. Andererseits will man mit dem Passwort ja eigentlich nichts weiter machen als es in eine Hash-Funktion zu stopfen, und an deren anderem Ende fällt Bitsalat heraus, oft schon als Hexdump oder Base64 aufbereitet und damit unabhängig von der Eingabe völlig harmlos.

Einen anderen Aspekt kannst Du aus dem ursprünglichen Pattern [a-km-np-zA-KM-NP-Z2-9] ablesen: l und 1 fehlen, O und 0, und lustigerweise auch L und o. Das sieht so aus, als sollte das Passwort druckbar und trotzdem nicht leicht zu verwechseln sein.

Für sichere Passworte ist das völliger Blödsinn, das reduziert nur die Anzahl der möglichen Passworte und macht somit Angriffe leichter. Der wirklich einzige Punkt, wo ich solche Einschränkungen akzeptieren kann, ist bei auf Papier zugeschickten Initialpassworten, die exakt einmal benutzt werden können und dann geändert werden müssen.

Alexander