Hallo,

In dem Zusammenhang: Good Users and Bad Passwords

Als Best Practice wird dort angegeben: »don’t validate the format of a password, only validate its length«

Das ist weder verbreitete Practice noch Best Practice. Zumal vorher korrekt die Entropie angesprochen wurde, die durchaus von der Beschaffenheit des Password abhängt bzw. genauer der Zahl der möglichen Passwörter, die demselben Schema folgen. »123456789123456789« ist insofern kein gutes Passwort, nur weil es lang ist.

Auch der zweite Rat »if you are going to validate the format, don’t make it required« ist fragwürdig.

»Because ultimately, it’s up to users what kind of password they want to use.«

Nein, das ist keine bloße Angelegenheit des Users. Die Sicherheit des ganzen Informationssystems kann davon abhängen.

»If we’re using techniques like salting and key stretching to store passwords more securely, then it shouldn’t really matter what they choose.«

Hier ignoriert der Autor verschiedene Angriffsvektoren. Ein starkes Passwort schützt nicht nur gegen das Brechen des Hashes.

Der Autor hat hier m.E. eine verkürzten Sicht auf User Experience. Starke Passwörter zu wählen ist leider nicht komfortabel und oftmals nervig für User. Nun zu versuchen, den User bloß nicht mit Regeln für sichere Passwörter zu nerven, führt nicht zu einem sicheren Account und also letztlich auch zu keiner positiven User Experience, wenn der Account gekapert wird.

Mathias