Hi,

ich bin gerade an einer Validierungs-Funktion, die Passwörter validieren soll, z.B. sollen bestimmte Passwörter wie sonne, gott, liebe etc. nicht erlaubt werden.

Das ist aber verkehrt herum, es sind gute Paßwörter zuzuteilen, nicht gewählte Paßworte zu prüfen. (Eindeutiges Signal, das die Vorgabe falsch ist, sind die ganzen Negationen: "nicht erlaubt", "nicht zugelassen" usw.) Es gibt für PHP einige Pakete zur automatischen Paßwortgenerierung, schau einfach mal bei PEAR o.ä. Quelltöpfen vorbei.

Warum?
Es ist ein Sicherheitsrisiko, da es die Menge der zur Verfügung stehenden Paßworte verkleinert.
Wenn Du bestimmte Paßworte, die sich der Kunde gewählt hat nicht erlauben willst, mußt Du ihm das mitteilen. Ein mögliches Paßwort aus dem Pool weniger. Nicht schlimm? Ja, _das_ ist nicht schlimm, das ist korrekt. Aber was, wenn sich jemand rein zufällig ein bereits vorhandenes Paßwort wählt? Mit ein paar Versuchen hat der Angreifer spitz, das Du die sogenannten "guten Paßworte" verlangst: nichts aus dem Wörterbuch, keine mehrfachen Zeichen (in Reihe) immer schön bunt gemischt usw. Nun gibt er "kU8%l,Z$" ein und bekommt die Meldung "Dieses Paßwort ist nicht gut, bitte wählen sie eine anderes". Mmmh... was wird er sich dabei wohl denken?
Gut, dem Ausprobieren kann man vorbeugen, klar. Aber das kostet Geld und Mühe und Komplexität in der Software.
Bei Nutzung eines automatischen Paßwortgenerators generierst Du das Paßwort und schickst es dem Kunden über die SSL-Verbindung zurück. Den freien Platz auf dieser Seite kannst Du für ein paar Sätze nutzen, wie man das Paßwort sicher aufbewahrt und vor allem warum, wie man jederzeit und völlig kostenfrei ein neues bekommt und wieviel Rabatt man bekommt, wenn man das auch regelmäßig tut usw.

so short

Christoph Zurnieden