Hallo Matze,

// a) Mindestlänge,

Mir ging es primär um den Sinn meiner Funktion. Die Abfrage nach der Mindestlänge habe ich der Übersicht halber raus gelassen.

äh nein. Das hat nichts mit Übersicht zu tun. So kann man Deine Frage nicht beantworten. Wie angemerkt, so wie vorgestellt, ist die Funktion meiner Meinung nach völlig sinnfrei und kann der Einfachheit halber weggelassen werden. Du überprüfst einen kleinen Punkt eines Wörterbuchangriffs, nicht mehr.

Wenn das PW allerdings wirklich so kryptisch sein soll, empfiehlt es sich da nicht das PW gleich selbst zu kreieren?

Nein, Benutzer mögen keine Passwörter, die ihnen vorgeschrieben werden. Die können sie sich nämlich nicht merken. Willst Du überall einen Zettel auskramen, auf dem 20 Passwörter für 20 verschiedene, zum Teil hochsensible, Anwendungen stehen. Keine gute Idee. Vermittle lieber Deinen Anwendern Strategien, wie man sich starke und doch gut merkbare Passwörter ausdenken kann.

Eine Anmerkung zu Deiner einzigen vorgestellten Prüfung:

"abcd" ist nicht unsicherer als "aaaa" und genauso unsicher wie "asdf" oder "qwer". Zweites ist bei reinem Brute-Force natürlich gleich geknackt. Aber bevor man zu Brute-Force greift, versucht man es mit einem Wörterbuch.

Zwei Sekunden Zwangspause nach drei oder fünf Fehlversuchen sind übrigens ein hervorragendes Mittel gegen Brute-Force-Angriffe. Viel längere Zwangspausen ermöglichen hingegen DOS-Attacken (Denial of Service) auf den legitimen Nutzer, sind daher keine gute Idee.

Freundliche Grüße

Vinzenz