Hi,

Wie bekomme ich das neue Passwort sicher zum User?

das Passwort wird an eine E-Mail-Adresse geschickt. Die E-Mail-Adresse ist im Account hinterlegt. Ein Angreifer muss Zugriff auf das E-Mail-Konto desjenigen haben, der Zugriff auf das Konto bei Dir haben möchte. Per definitionem ist dies entweder der legitimierte User, oder ohnehin die ganze Welt, ohne dass Du etwas dafür oder dagegen machen könntest.

Du schickst einem solchen Angreifer nicht das Passwort zu, dass der User mal eingegeben hatte[1] und vermutlich an zig anderen Stellen verwendet, sondern ein zufällig generiertes. Insofern ist das Verfahren entweder sicher, oder die anderweitig defekte Situation des Nutzers wird durch Dich nicht verschlimmert. Was willst Du mehr?

Man muss dem User irgendetwas mitteilen also muss eine E-Mail verschickt werden.

Wenn der User ein (z.B.) ICQ-Account angegeben hat, könntest Du es auch dort hin schicken. Ich glaube jedoch nicht, dass das die Sache irgendwie verbessert.

Gibt's eine Möglichkeit dem User das Passwort auf sicherem Wege zukommen zu lassen?

Es gibt keine sicheren Wege. Du könntest eine zusätzliche Sicherheitsfrage einbauen, die als leichter merkbares Zusatzpasswort funktioniert. "Wie lautet der Name Deines ersten Haustieres?" - "Mama" - "Richtig, wir senden Ihnen Ihr Einmal-Passwort zu."

Cheatah

[1] Das könntest Du gar nicht. Es steht irreversibel verschlüsselt in der Datenbank.