Hallo,

Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

Sie sind nicht ausreichend. Wie soll ich das bitte beweisen? Facebook-, Twitter-, Google-Accounts werden tagtäglich tausendfach gehackt, wie man an dem entsprechenden Spam auf den Plattformen sieht. In erster Linie aufgrund von schwachen Passwörtern.

Die genannten Sites verwenden:

• SSL, Passwörter werden gehasht gespeichert, beschränkt gültige Reset-E-Mails usw.
• Optionale Two-Factor-Authentication via SMS, alternative E-Mail-Adressen
• IP- und Geo-IP-Prüfungen und andere Heuristik (Browser, OS, Cookies…), um verdächtige Anmeldungen zu erkennen
• Drosselung von Anmeldeversuchen, temporäres Sperren bei vielen Anmeldeversuchen
• Per E-Mail wird auf verdächtige Logins hingewiesen, um User auf Angriffe hinzuweisen und ggf. andere Sessions beenden zu können
• Gegebenenfalls CAPTCHA. Bei Facebook muss man nach erfolgreicher, aber verdächtiger Anmeldung FreundInnen korrekt auf Fotos identifizieren. Also nichts, was eine unwissende Maschine oder ein beliebiger Mechanical Turk lösen könnte.

Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch. (Und dann hauptsächlich, wenn sie wiederverwendet werden.) Das ist realistisch, aber sehr schwierig im Vergleich zum einfachen Knacken von Accounts durch die Vordertür. Ein starkes Passwort kann das verhindern.

Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

Dann verstößt du wahrscheinlich gegen die Terms of Services. In denen von größeren Websites (E-Commerce, Social Networks, Blogging, Fotodienste, E-Mail-Anbieter, Payment…) steht meist, dass die User für die Sicherheit ihres Accounts zu sorgen haben und ein starkes Passwort wählen sollen. Eben weil diese Sicherheit mit der Sicherheit und Vertrauenswürdigkeit des Systems verknüpft ist.

Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze?

Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht. Das fällt dann möglicherweise auf dich zurück, falls du persönliche Daten bei der Registrierung angeben musstest.

Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden.

Das ist keine gute Idee, wenn du nicht willst, dass jemand deine Identität übernimmt und unter deinem Account Spam oder einfach nur Unsinn postet, um dir zu schaden.

Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

Dann setze einen Passwort-Manager ein.

User sind mündiger als du vielleicht denkst.

User haben i.d.R. keine Ahnung von der Sicherheit eines Informationssystems und den nötigen Maßnahmen. Wie sollten sie auch. Schwache Passwörter zu benutzen hat nichts mit Mündigkeit zu tun, sondern mit technischem Unwissen. Das meine ich gar nicht abfällig.

Grüße
Mathias