Hallo,

Wie kommst du darauf, dass der Spam daher kommt?

Weil die betroffenen Personen das z.B. auf Twitter schreiben.

Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

Um den Spieß umzudrehen: Das ist eine Behauptung. Beweise doch einmal, dass Accounts nicht auf diese Weise geknackt werden.

Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

Genau so ist es ja auch.

Dann erkläre mir, warum alle Dienste überhaupt darauf hinweisen, starke Passwörter zu verwenden. Wenn das das einzige Szenario ist, sind starke Passwörter deiner Argumentation nach überflüssig, solange man sie nicht wiederverwendet.

Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist.

Die habe ich ja im Detail beschrieben. Das reicht aber nicht aus, wenn z.B. ein Botnetz einfach hunderttausende Accounts nacheinander mit einem Dictionary durchprobiert. Die Versuche liegen dann weit auseinander, es ist kein Angriffspattern erkennbar und die beschriebene Heuristik schlägt auch nicht Alarm.

Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist.

Ja, und dort ist üblicherweise verlinkt, dass du ein starkes Passwort verwenden solltest. Bspw. Twitter:

»You are responsible for safeguarding the password that you use to access the Services and for any activities or actions under your password. We encourage you to use "strong" passwords (passwords that use a combination of upper and lower case letters, numbers and symbols) with your account. Twitter cannot and will not be liable for any loss or damage arising from your failure to comply with the above.«
https://twitter.com/tos

Siehe auch
https://support.google.com/accounts/answer/46526
https://support.google.com/accounts/answer/32040

https://de-de.facebook.com/help/131719720300233/
https://de-de.facebook.com/help/379220725465972/

Warum reiten die großen Dienste so darauf herum, wenn Whouzuo doch sagt, dass es unnötig ist?

Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

Hat auch niemand behauptet. Es ist trotzdem fahrlässig, ein schwaches Passwort zu wählen. Und Site-Betreiber wollen es verhindern.

Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

Geht ja nicht, weil, siehe oben.

Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

Dann setze einen Passwort-Manager ein.

Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

Ich rede von browserunabhängigen, plattformübergreifenden Passwort-Managern, die Passwörter über Geräte hinweg synchronisieren können.
http://en.wikipedia.org/wiki/List_of_password_managers

Mathias