Wir hatten über die technische Durchsetzung einer Password Policy nachgedacht, diese bisher aber nicht implementiert (von ein paar ganz rudimentären Regeln abgesehen). SoSci Survey belässt es bisher bei der optischen Warnung.
Der Hintergrund ist, dass Passwort-Regeln nicht unbedingt zu guten Passwörtern führen. "Hundehaus#12345" ist lang und erfüllt alle möglichen Kriterien, steht aber sicher auf einigen Passwort-Listen. Umgekehrt gängelt man damit Personen, die sich ein "6uhjsKLvMd" ausdenken oder die ein 30-stelliges alphanumerisches Passwort im PW-Manager erstellen (welches höchstwahrscheinlich sehr sicher ist) und dann technisch ausgebremst werden, weil das System aber gerne ein Sonderzeichen hätte. Und wenn man dann im Passwort-Manager noch Sonderzeichen ergänzt, dann werden der Slash und das Anführungszeichen aus unerfindlichen Gründen von der Policy verboten.
Im Moment geht der Trend ohnehin eher zum Single-Sign-On (SSO). An der LDAP-Schnittstelle arbeiten wir noch, aber ein Shibboleth (SAML2) Modul hat SoSci Survey bereitsim Angebot: Zusätzliche Funktionalität (Lokaler Befragungsserver)