Hallo,

Wie kommst du darauf, dass der Spam daher kommt?

Weil die betroffenen Personen das z.B. auf Twitter schreiben.

Und woher wissen die, dass ihr Passwort geknackt wurde und dass es kein Trojaner war?

Brute Force bei den oben genannten Anbietern kannste vergessen, die Gründe hast du ja selbst aufgeführt.

Um den Spieß umzudrehen: Das ist eine Behauptung. Beweise doch einmal, dass Accounts nicht auf diese Weise geknackt werden.

Wie soll denn das gehen? Man hat ja nur 10 Versuche oder so. Innerlab dieser kann ein "123" Passwort natürlich geknackt werden. Solche extrem häufigen Passworte kann man ja dann in eine Blacklist speichern. Fertig.

Das sind bereits ausgefeilte Maßnahmen, um nicht legitime Logins zu verhindern. Wären sie alleinig effektiv, wären schwache Passwörter erst nach Kompromittieren der Datenbank problematisch.

Genau so ist es ja auch.

Dann erkläre mir, warum alle Dienste überhaupt darauf hinweisen, starke Passwörter zu verwenden. Wenn das das einzige Szenario ist, sind starke Passwörter deiner Argumentation nach überflüssig, solange man sie nicht wiederverwendet.

Aus dem gleichen Grund, warum auf Teepackungen steht "Gießen sie das Getränk mit sprudelnd kochendem Wasser auf. Nur so erhalten sie ein sicheres Lebensmittel" (oder so ähnlich).

Die Anbieter lassen zeigen einfach nach 10 Versuchen Captchas und ergreifen andere Maßnahmen, damit automatisiertes Einloggen nicht möglich ist.

Die habe ich ja im Detail beschrieben. Das reicht aber nicht aus, wenn z.B. ein Botnetz einfach hunderttausende Accounts nacheinander mit einem Dictionary durchprobiert.

Sie können ja bei jedem Benutzer nur 10 Dictionary-Einträge ausprobieren. Und wie ich bereits schrieb (nicht nur in diesem Post übrigens...), kann man ja die damit knackbaren Passwörter in einem Blacklist speichern.

Die Versuche liegen dann weit auseinander, es ist kein Angriffspattern erkennbar und die beschriebene Heuristik schlägt auch nicht Alarm.

Was denn, pro Monat ein Passwort durchprobieren oder wie? Sinnvoll...
Außerdem fällt es trotzdem auf, wenn die Anzahl der Anmeldeversuche plötzlich stark steigt.

Da steht nur, dass man das Passwort nicht weitergeben darf und für dessen Sicherheit selbst verantwortlich ist.

Ja, und dort ist üblicherweise verlinkt, dass du ein starkes Passwort verwenden solltest. Bspw. Twitter:

Genau. "solltest" ist das Stichwort. Und somit verstoße ich nicht gegen die TSO und deine Aussage ist hinfällig.

Warum reiten die großen Dienste so darauf herum, wenn Whouzuo doch sagt, dass es unnötig ist?

Tun sie doch gar nicht. Bei Google kann ich easy abcde12345 als Passwort eingeben und das wird akzeptiert. Die Entropie ist allerdings verdammt gering und die meisten Dictionary Angriffe (ohne login Versuch Begrenzung) würden das schnell knacken.

Und selbst wenn - ich bezweifel, dass mich ein deutsches Gericht deswegen verurteilen wird, weil ich bei Facebook ein schwaches Passwort gewählt habe. ;)

Hat auch niemand behauptet.

Na dann ists ja gut und es ist meine Entscheidung.

Das darfst du meinetwegen tun, aber gerade bei einem E-Mail-Konto dürfte einleuchten, warum du ein sicheres Passwort wählen musst. Sonst wird der Account schnell als Spamschleuder oder Datenumschlagplatz missbraucht.

Geht ja nicht, weil, siehe oben.

Du bist Betreiber eines solchen E-Mail-Dienstes oder woher nimmst du diese absolute Gewissheit?

Na dann erklär doch mal, wie das gehen soll. Absolute Gewissheit gibt es sowieso nie also spar dir diese Worthülsen.

Dann setze einen Passwort-Manager ein.

Tu ich, den von Firefox. Und dann will ich mal vom Handy aus zugreifen oder von der Arbeit - pustekuchen.

Ich rede von browserunabhängigen, plattformübergreifenden Passwort-Managern, die Passwörter über Geräte hinweg synchronisieren können.
http://en.wikipedia.org/wiki/List_of_password_managers

Klingt ja super. Entweder proprietär (wer weiß, ob die nicht meine Passwörter kennen) oder umständlich bzw. nicht für die von mir benötigten Plattformen verfügbar. Auf der Arbeit darf ich mir so ein Ding sowieso nicht installieren. Wie du siehst, es löst einige Probleme aber nicht alle - und erzeugt teilweise auch Neue.