Hallo,

Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...

Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss? Das ist ein problematisches Argument, mit dem man leicht sämtliche Forschung zum Thema vom Tisch wischen kann.

Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern. Schwache zuzulassen, weil sie einfacher merkbar sind, ist dann keine Option. Gegen Angriffe, die auf Zugangsgeräte oder in Dateien und auf Papier gespeicherte Passwörter abzielen, hilft das natürlich nicht.

Ich halte es für keinen Ausweg, schwache Passwörter zuzulassen. Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel). Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.

Mathias