Hallo,
Die Passwortstärke ist aber nicht das einzige Sicherheitskriterium. Sonst passiert es z.B., dass der User es sich aufschreibt und auf die Tastatur klebt...
Schwache Passwörter sind eigentlich sicher, weil sie sich der User merken kann und nicht aufschreiben muss?
Sicher wovor? Vor jemandem, der brute-force Anmeldeversuche auf dem Server macht? Ja! Davor, dass sie beim Erlangen des Hashes geknackt werden? Nein!
Das ist ein problematisches Argument, mit dem man leicht sämtliche Forschung zum Thema vom Tisch wischen kann.
Vielleicht solltest du erstmal definieren, was hier überhaupt einer Sicherheit bedarf. Vorher bringt eine Diskussion auch nichts.
Es gibt in der Tat verschiedene Angriffsszenarien. Die meisten Sites haben sich dafür entschieden, gegen die Online-/Remote-Angriffe vorzugehen und starke Passwörter einzufordern.
Die Meisten? Wirklich? Du hast da Zahlen nehme ich an?
Nach meinem Gefühl sagen die meisten Seiten "mindestens X Zeichen, mindestens ne Ziffer" oder so ähnlich und das war's.
Ich halte es für keinen Ausweg, schwache Passwörter zuzulassen. Es gibt gute Passwort-Generatoren, die durchaus merkbare Passphrases mit großer Entropie generieren (Beispiel).
Das widerspricht sich.
Es gibt plattformübergreifende Passwort-Manager, die das Ausdenken und Merken von Passwörtern überflüssig machen, indem sie zufällige Passwörter generieren und sie durch eine starke Passphrase synchron verschlüsselt speichern.
Das bedeutet: Trojaner auf dem PC und schon hat er (nach einmaligem Einsetzen des Passwort Managers) sämtliche Passwörter, selbst wenn man den Trojaner nach ner Stunde bemerkt und den Rechner platt macht. Schon zu spät.