Moin!

Aus Sicherheitsgründen werden Passwörter üblicherweise auch nich roh in einer Datenbank abgelegt. Deswegen wird im Vergessensfall normal ein neues Passwort für den Besucher generiert, dieses ihm zugeschickt.

NIcht so ganz. Der Link zum "Passwort vergessen" ist ja zwingend öffentlich verfügbar, kann deshalb von jedem Scherzkeks ausgelöst werden. Usernamen sind ggf. (Forum) auch öffentlich bekannt.

Deshalb wird man in solch einem Fall für den Account ein ZWEITES Passwort generieren und mailen, mit dem der User seinen Account eine gewisse Zeit lang zusätzlich betreten kann (um sein Passwort zu ändern). Wenn der nächste Login mit dem alten Passwort geschieht, wird das zweite Passwort sofort wieder vergessen.

Oder man generiert lediglich eine Mail mit einem Hash im Link zu einer Seite, welche dann die Neugenerierung des Passwortes in die Wege leitet.

- Sven Rautenberg