Hallo,

Und wie kriegt man User dazu, Passworte lang und zufällig zu machen? Indem man z.B. dem User das Passwort vorschreibt, anstatt ihn selbst eines aussuchen zu lassen. Gleich bei der Registrierung kriegt er eines verpaßt, das man ihm mitteilt (auf dem Bildschirm oder per Mail), und fertig. Wenn er sein Passwort wechseln möchte oder es vergessen hat, kriegt er wieder ein neues, generiertes Passwort.

das klingt zwar überzeugend, aber nicht wirklich praktikabel. Ein Passwort muss sich der Anwender schließlich auch einprägen und merken können. Und wo viele Leute schon Mühe haben, sich die 4stellige numerische PIN ihrer ec-Karte zu merken, möchtest du ihnen einen womöglich 12stelligen alphanumerischen Code zum Auswendiglernen vorsetzen? Kommt mir ziemlich abwegig vor.

Und wenn ein Passwort so kompliziert ist, dass ich es auf einem Zettel notieren und mit mir rumtragen muss, ist die Sicherheit plötzlich wieder um Größenordnungen schlechter. Dann verliere ich den Zettel mal irgendwo und jemand findet ihn, oder die Jacke mit der Brieftasche hängt mal einen Moment unbeaufsichtigt rum - solche Fälle sind ja durchaus alltäglich.

Wenn ich ein "sicheres" Passwort generieren möchte, das ich mir dann auch merken kann, dann denke ich mir a) einen sinnvollen Satz aus und b) ein Datum oder eine Zahl, das/die mit diesem Satz im Zusammenhang steht. Und dann mische ich im Wechsel ja eine Ziffer und den Anfangsbuchstaben eines Wortes aus meinem Beispielsatz (unter berücksichtigung von Groß- und Kleinschreibung, versteht sich). Das sieht dann am Schluss ziemlich zufällig aus, aber man kann es sich leicht einprägen bzw. herleiten.

Aber vom Anbieter willkürlich vorgegebene Passworte finde ich nicht besonders praxistauglich.

Schönes Wochenende,
 Martin

PS: Unabhängig von der hier diskutierten grundsätzlichen Problematik wird IMHO die Passwort-Paranoia in sehr vielen Fällen grundlos übertrieben, weil mit dem Passwort nichts wirklich Wichtiges oder Kritisches geschützt wird.