Hallo Bernd,

95,76 Bits

Wenn Du das Leerzeichen als Teil des Passworts auffassen möchtest, dann jein. Ein Angreifer muss mehr als eine dieser Mails sehen, um ein Muster für den Zeichenvorrat zu erkennen, und sieht dann auch, dass die Leerstellen immer am gleichen Ort sind.

Genau.

Wenn Du den Mailempfängern schreibst, dass die Leerstellen im Passwort nur der Lesbarkeit dienen und nicht mit einzugeben sind, dann nein.

Genau.

Berücksichtige bitte auch, dass ein per Mail versendetes Passwort in dem Moment als kompromittiert gelten muss, wo es deinen Server verlassen hat. Wer sich mit einem solchen Passwort anmeldet, muss dazu gezwungen werden, es bei der Anmeldung sofort zu ändern.

Genau.
Ich würde meine Nutzer am liebsten alle 3 Monate zwingen, ihr Passwort zu ändern. Alleine, den Ärger spare ich mir...

Was den generierten Pass angeht. Ich zwinge sie zwar, gebe aber ein paar Tage Zeit hierzu. Ich kenne das ja selber: Wenn man das ganze nutzt, hat man ausgerechnet so gar keine Zeit. Und ich will keinen User verärgern.

Bernd