Hallo

Berücksichtige bitte auch, dass ein per Mail versendetes Passwort in dem Moment als kompromittiert gelten muss, wo es deinen Server verlassen hat. Wer sich mit einem solchen Passwort anmeldet, muss dazu gezwungen werden, es bei der Anmeldung sofort zu ändern.

Ich würde meine Nutzer am liebsten alle 3 Monate zwingen, ihr Passwort zu ändern. Alleine, den Ärger spare ich mir...

Daran tust du gut. Einerseits ist das übel nervend und zweitens, un da stimme ich Martins Wiedergabe des Komplexitätsarguments völlig zu, werden die Passwörter prinzipiell schwächer. Denn was macht der genervte Benutzer? Er benutzt als Passwort ein für ihn leicht zu merkendes Wort mit angehängter und hochzuzählender Zahl^[1] statt eines Passworts, dass diese Bezeichnung verdient.

Dann lieber länger, auch gerne als Passphrase aus willkürlich ausgewählten Wörtern, die zusammen keinen Sinn ergeben, sich aber in ihrer Kombination merken lassen.

Tschö, Auge