Hallo,

Trotz deiner Verlinkung bleibst du bisher schuldig zu erklären, warum Sicherheitsmechanismen gegen Bruteforce Einlogversuche nicht ausreichend sein sollen.

Sie sind nicht ausreichend. Wie soll ich das bitte beweisen? Facebook-, Twitter-, Google-Accounts werden tagtäglich tausendfach gehackt, wie man an dem entsprechenden Spam auf den Plattformen sieht. In erster Linie aufgrund von schwachen Passwörtern.

Wie kommst du darauf, dass der Spam daher kommt? Ich vermute viel eher, dass das mit nem Trojaner infizierte Rechner sind, von denen aus der Spam versendet werden. Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

Genau so ist es ja auch.

(Und dann hauptsächlich, wenn sie wiederverwendet werden.) Das ist realistisch, aber sehr schwierig im Vergleich zum einfachen Knacken von Accounts durch die Vordertür.

Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist. Wenn natürlich das Passwort nach 10 Versuchen geknackt ist... DANN war es wirklich zu schwach. ;)

Was ist denn, wenn es mir völlig egal ist, ob der Account geknackt wird?

Dann verstößt du wahrscheinlich gegen die Terms of Services.

Habe weder bei Facebook noch bei Google eine entsprechende Stelle in den ToS gefunden. Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist. Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

Wenn ich z.B. nur mal eben zu Testzwecken ein Email-Konto erstellen will und es nach 3 Tagen eh nie wieder benutze?

Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

Geht ja nicht, weil, siehe oben.

Oder wenn ich mich eh nur im Forum anmelde, um in einem Thread zu posten und dann nach einer Woche das Forum nie wieder zu besuchen? Dann kann ich auch abc als Passwort verwenden.

Das ist keine gute Idee, wenn du nicht willst, dass jemand deine Identität übernimmt und unter deinem Account Spam oder einfach nur Unsinn postet, um dir zu schaden.

Geht ja nicht, weil, siehe oben.

Aber mal was anderes. Wenn ein Trojaner meinen Rechner verseucht, weil ich unversichtig war (das ist ja zu 95% der Grund, von 0day Exploits mal abgesehen), bin ich dann auch rechtlich verantwortlich dafür, dass der über meine Accounts Quatsch macht? Ich wage es stark zu bezweifeln. Wenn überhaupt, dann liegt die Beweislast bei mir, aber wenn z.B. anhand von IPs bewiesen werden kann, dass ich da nicht im Forum gepostet habe, dann bin ich raus aus der Sache.

Aber ich kann durchaus nachvollziehen, was du schreibst. Jetzt wo ich darüber nachdenke gibt es bestimmt viele, die unter meinem Namen - der ja nun doch aufgrund meiner qualitativ sehr hochwertigen Beiträge einen sehr guten Ruf genießt - Beiträge verfassen wollen.
Oh warte, ich sollte den vielleicht bei SELFHTML langsam mal registrieren. ;)

Werde aber gezwungen irgendeinen Quatsch da einzugeben, den ich mir dann aufschreiben muss etc.

Dann setze einen Passwort-Manager ein.

Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

User sind mündiger als du vielleicht denkst.

User haben i.d.R. keine Ahnung von der Sicherheit eines Informationssystems und den nötigen Maßnahmen.

Davon habe ich nicht gesprochen. Lies bitte genauer, was ich schreibe.
Es reicht imho aus, ihnen eine Warnung mit ggf. entsprechender Erklärung zu zeigen. Danach sollen sie dann als mündige User selbst entscheiden. Dafür braucht man übrigens auch kein technisches Wissen.