Moin!

Und wie kriegt man User dazu, Passworte lang und zufällig zu machen? Indem man z.B. dem User das Passwort vorschreibt, anstatt ihn selbst eines aussuchen zu lassen. Gleich bei der Registrierung kriegt er eines verpaßt, das man ihm mitteilt (auf dem Bildschirm oder per Mail), und fertig. Wenn er sein Passwort wechseln möchte oder es vergessen hat, kriegt er wieder ein neues, generiertes Passwort.

das klingt zwar überzeugend, aber nicht wirklich praktikabel. Ein Passwort muss sich der Anwender schließlich auch einprägen und merken können.

Genau hier setzen einige Programme an, die zufällig Passwörter generieren, die in einem sicheren (was auch immer das heißt) Speicher aufbewahren und bei Bedarf nur das passende herausrücken. Das kann man natürlich auch selbst machen: Man trägt alle zufällig generierten in eine Datei, die man mit PGP verschlüsselt. Man braucht sich nur das PGP-Passwort zu merken, alles Andere bekommt man per Copy&Paste oder abschreiben.

Und wo viele Leute schon Mühe haben, sich die 4stellige numerische PIN ihrer ec-Karte zu merken, möchtest du ihnen einen womöglich 12stelligen alphanumerischen Code zum Auswendiglernen vorsetzen?

Ich glaube, dass bei PIN auch eine gewisse Technikphobie mit der Angst ums eigene Vermögen zum Tragen kommt, schließlich können sich die meisten Leute problemlos haufenweise Telefonnummern merken, nur ausgerechnet die PIN nicht.

PS: Unabhängig von der hier diskutierten grundsätzlichen Problematik wird IMHO die Passwort-Paranoia in sehr vielen Fällen grundlos übertrieben, weil mit dem Passwort nichts wirklich Wichtiges oder Kritisches geschützt wird.

Da hast du wohl vollkommen Recht.

Schönes Wochenende,
Robert