Auch wenn Sie eine noch so ausgefeilte Policy für die Vergabe von Passwörtern aufgestellt haben: Ihre Benutzer werden immer einen Weg finden, sich die Arbeit so einfach wie möglich zu machen. Fordern Sie beispielsweise mindestens ein Sonderzeichen im Passwort, kommt unter Garantie anstatt "qwertz" das "neue" Passwort "qwertz_" dabei heraus. Sind die Benutzer gezwungen, ihr Kennwort alle 30 Tage zu ändern, und lassen Sie dabei die letzten zwei verwendeten Kennwörter nicht zu, können Sie sicher sein, dass Ihre Anwender am Stichtag einfach ihre Kennung drei Mal ändern und dann das alte Passwort wieder verwenden.
Um zu überprüfen, ob Ihre Benutzer zu einfache Passwörter verwenden, haben Sie viele Möglichkeiten. Eine relativ einfache, wenn auch Zeit und Ressourcen fressende Methode ist das Ausprobieren gängiger Zeichenkombinationen gegen einen bekannten Benutzernamen. Viel zu lange würde es auch dauern, die Unzahl der oft benutzten Passwörter auszuprobieren, die im Internet in "Passwortlisten" zu finden sind.
Mit ein wenig Feintuning können Sie die Arbeit allerdings deutlich beschleunigen. Für die weiteren Experimente benötigen Sie ein installiertes Linux oder ein Linux-Live-CD sowie das Security- und Hackertool "Hydra". Dieses können Sie hier in der aktuellen Version herunterladen.