Komplexe Kennwörter werden häufig von der IT-Abteilung eines Unternehmens erzwungen, um sicherzustellen, dass die Benutzerkonten der Mitarbeiter nicht extern gefährdet werden. Sie werden auch in Situationen erzwungen, in denen einem Benutzer vertraut wird, dass er Zugriff hat, der in den falschen Händen schädlich sein kann.
In diesem Fall gilt keine der beiden Situationen. Stack Exchange speichert keine privaten Daten und reguläre Benutzerkonten können keinen Schaden anrichten. Der einzige Fall, in dem diese Kennwortanforderungen sinnvoll sein könnten, besteht darin, dass die Stack Exchange-Systeme kompromittiert wurden, alle Kennwort-Hashes offengelegt wurden, leicht geknackt werden konnten und Benutzer die Kennwörter an anderer Stelle verwendeten. Kein anderes Szenario ist sinnvoll - Stack Exchange kann Brute-Force-Angriffe drosseln. Wenn das Anmeldesystem beeinträchtigt ist, ist die Kennwortstärke nutzlos. und selbst wenn das Kennwort des Benutzers kompromittiert wird, ist der Schaden, den es bei Stack Exchange anrichten kann, ziemlich begrenzt. In allen Fällen wird Stack Exchange also nicht von der Stärke der Kennwörter ihrer Benutzer beeinflusst.
Auf der anderen Seite werden die starken Kennwortanforderungen wahrscheinlich dazu führen, dass viele Benutzer die Nutzung des Dienstes vermeiden und dabei bleiben ihre Google- oder Facebook-Konten, die beide weitaus weniger Einschränkungen hinsichtlich des Passworts haben.
Dies ist eine Frage des Grades - wie sicher können Sie Menschen dazu zwingen, zu sein, bevor sie entweder Ihren Dienst meiden oder Ihre Versuche, sie zu "sichern", sabotieren. Zum Beispiel kann jemand ein Passwort haben, das er verwenden möchte, aber es kann nicht 8 eindeutige Zeichen haben, also verwenden sie stattdessen "Pas $ word". Oder sie erfinden ein Passwort, wissen aber, dass sie sich nicht daran erinnern, und schreiben es an einer Stelle auf, an der jeder in ihrer Nähe es sehen kann.
Um eine Perspektive zu bieten, werden hier die Passwortbeschränkungen untersucht Die anderen OpenID-Anbieter, die auf den Stack Exchange-Anmeldeseiten prominent vorgestellt werden, haben:
-
Google: Mindestens 8 Zeichen, darf auch kein "schwaches" Passwort sein, obwohl der genaue Mechanismus, mit dem ein "schwaches Passwort" ermittelt wird, unklar ist. ("abcdefgh" und "abcdefg1" sind schwach, während "Abcdefgh" ausreichend stark ist). Sie bieten eine Seite mit Tipps für ein stärkeres Passwort.
-
Yahoo: mindestens 6 Zeichen. Es gibt eine ähnliche Grafik wie bei Google, die zeigt, wie stark Ihr Passwort ist, aber nichts verhindert die Erstellung eines Kontos mit einem schwachen Passwort.
-
MyOpenID: Mindestens 1 Zeichen, keine weiteren Einschränkungen. Ähnlich wie bei Yahoo gibt es eine Grafik, die zeigt, wie stark das Passwort ist ( Quellcode), aber nichts verhindert die Erstellung eines Kontos mit einem schwachen (oder sogar 1 Zeichen) Passwort.
-
AOL: Mindestens 6 Zeichen, darf auch nicht "zu unsicher" sein. Es gibt ein Kennwortstärkemessgerät ( Quellcode), und es scheint, dass jedes Kennwort, dessen Punktzahl unter 34 liegt, als "zu unsicher" eingestuft wird.
-
Facebook: mindestens 6 Zeichen.
Im Vergleich dazu sind die Einschränkungen für das Stack Exchange OpenID-Kennwort weitaus strenger. Unnötig, meiner Meinung nach, da der größte reine OpenID-Anbieter, MyOpenID, überhaupt keine Passwortbeschränkungen hat.