»If we’re using techniques like salting and key stretching to store passwords more securely, then it shouldn’t really matter what they choose.«

Hier ignoriert der Autor verschiedene Angriffsvektoren. Ein starkes Passwort schützt nicht nur gegen das Brechen des Hashes.

Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

Der Autor hat hier m.E. eine verkürzten Sicht auf User Experience. Starke Passwörter zu wählen ist leider nicht komfortabel und oftmals nervig für User. Nun zu versuchen, den User bloß nicht mit Regeln für sichere Passwörter zu nerven, führt nicht zu einem sicheren Account und also letztlich auch zu keiner positiven User Experience, wenn der Account gekapert wird.

Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird? Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze? Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden. Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

Nee nee. User sind mündiger als du vielleicht denkst. Ein Warnhinweis reicht imho völlig aus.