Es spricht nichts gegen "123456" solange kein persönlicher Schaden entsteht, sollte das Konto "gehackt" werden.
Das Problem ist doch heutzutage "wo entsteht kein persönlicher Schaden"?
In Zeiten, wo selbst Vermieter via Google einen "Persönlichkeitscheck" machen, können auch unbedeutende Dienste plötzlich für Folgeprobleme sorgen.
Weiter werden immer mehr Daten gesammelt und immer mehr Datenlecks werden bekannt. Also selbst wenn du ein sicheres Passwort bei einem "wichtigen und vertrauenswürdigen" Dienst verwendest, kann es durchaus sein, dass du dieses wieder ändern musst, weil ein Datenleck stattfand.
Es wird da immer wieder Werbung gemacht mit sog. Passwort-Tresoren, so weit, so gut. Wer aber bestätigt wirklich, dass ein solcher garantiert keine Backdoor-Möglichkeit besitzt?
Diese Bedenken sind verständlich und bei Sicherheitsexperten auch immer wieder ein Thema. Die selbe Ungewissheit hatte man auch lange Zeit mit Truecrypt oder anderen Verschlüsselungen/Diensten.
Diese Betrachtungsmöglichkeit habe ich im Laufe der Zeit schon in verschiedenen Foren mal kundgetan, bislang hat sich aber noch niemand ernsthaft mit diesem Gedankenspiel befasst.
Was meinst du mit "ernsthaft mit diesem Gedankenspiel befasst"?
Eine Lösung gibt es leider nicht zu dem Problem.
Es gibt diverse Lösungen und viele davon sind OpenSource. Aber wie du selber festgestellt hast, sind eben viele Lösungen "kleine" Projekte, die weder ein regelmässiges Audit machen, noch genug Fachwissen zur Hand haben um eine sehr hohe Sicherheit zu gewährleisten. Erschwerend kommt dann hinzu, dass sehr gute Features in Produkt A sind, aber im Produkt B fehlen oder dass die Produkte sich anfühlen wie Win 3.11.
Ich selber bin dabei Schrittweise auf Einweg-Passwörter (für jeden Dienst ein eigenes 12-16 Stelliges PW) zu wechseln. Zumindest bei den Diensten wo das geht. Dafür verwende ich nun einen Online-Dienst (leider). Nach einer Evaluierung hatte mich der Dienst einfach am meisten überzeugt, weil ich nicht Stunden lang zuerst alles einrichten, konfigurieren und installieren muss (weil es auf allen Browser inkl. Opera 12 und Mobilegeräten funktioniert). Weiterer Punkt war die Tatsache, dass ich einen Export machen kann (falls ich entweder eine eigene Software-Lösung inkl. Mobile App schreibe oder doch ein gutes anderes Produkt auf dem Markt erscheint).
Interessanter wäre es, wenn der Zugang nach z.b fünf Fehleingaben für eine gewisse Zeit gesperrt würde. Dann wäre es egal, wie viel Millionen Wörter der Rechner in einer Sekunde testen könnte.
Viele Dienste haben bereits eine solche Sperre. Hier ist aber das Problem, dass viele nur 10-15 Minuten haben (da wären 1-2h effektiver) und die wenigsten schicken eine E-Mail an den Kunden mit dem Hinweis dazu.
Selbst auf einer meiner Joomla Seiten gab es in den letzten 7 Tagen 300 Login-Versuche. Und das obwohl ich nach 3 Fehlschlägen für mehrere Tagen die IP Sperre.
Fazit
Das Problem mit Sicherheit bleibt aber bestehen:
- Absolute Sicherheit gibt es nicht
- Je mehr Wert man auf Sicherheit legt, desto mehr muss man an Komfort verzichten
- Man muss immer auch mit dem Risikofaktor Vertrauen arbeiten (Bei Schlösser gibts ja auch Generalschlüssel, etc pp)