Hallo,

Ich hasse es. Ich will mein Passwort selbst festlegen.

Dass du etwas willst, ist erst einmal kein Argument hinsichtlich der Sicherheit eines Passworts und der allgemeinen Sicherheit einer Webanwendung. Wie wäre es mit sachlichen Argumenten?

Und wenn ich entscheide, dass abcde reicht - dann reicht es.

Nein. Es gibt objektive Kriterien, was die Sicherheit von Passwörtern angeht.

Das einzige Problem ist, wenn tatsächlich jemand Zugriff auf die Passwort Hashes kriegt, kann her abcde mit brute force relativ schnell knacken. Dann bin ich aber selbst schuld und fertig.

Einfache Passwörter lassen sich knacken, ohne dass die Hashes aus der Datenbank nötig sind – einfach durch Anmeldeversuche. Das ist eben *nicht alleine dein Problem*, sondern ein Sicherheitsproblem der Website! Wenn dein Account kompromittiert wird, ist bei den üblichen Webanwendungen die Sicherheit anderer Accounts und damit die Stabilität des gesamten Systems in Gefahr. Es besteht im Interesse des Seitenbetreibers, dass User ihre Accounts mit sicheren Passwörtern versehen, sodass sie nicht einfach knackbar sind. Alles andere führt letztlich zu Datendiebstahl, Spam/Abuse und weiteren Sicherheitsproblemen, z.b. durch Social Engineering.

Vorschläge kann man ja machen "Warnung, das Passwort ist sehr unsicher! (...)", aber keine Akzeptanzkriterien bitte.

Das ist eine Implementierungsfrage. Es gibt gute Bibliotheken, die die Sicherheit von Passwörtern messen und entsprechende Hinweise geben. Die arbeiten nicht notwendig mit stumpfen Kriterien wie »mindestens eine Ziffer, mindestens ein Buchstabe« usw., sondern berechnen die allgemeine Entropie und können bspw. eine Blacklist mit einbeziehen. Solche Mechanismen sind bei allen großen Sites im Einsatz.

Mathias