nicht angemeldet
Moin Moin!
Wie bekomme ich das neue Passwort sicher zum User?
Gar nicht.
Man muss dem User irgendetwas mitteilen also muss eine E-Mail verschickt werden.
- In die E-Mail könnte ich das neue Passwort einfach so reinschreiben. Das halte ich aber für bedenklich, da die E-Mail nicht verschlüsselt wird und das Passwort somit von jedem gelesen werden kann
Richtig.
- Es wird ein Link in die E-Mail gepackt. Folgt man dem Link kommt man auf eine Seite mit einem mini Formular wo man sein neues Passwort eingeben kann. Ist aber auch nicht sicher, da jeder dem Link folgen könnte.
"Hilfe ich hab mein Passwort vergessen"-Seite linkt auf Neues-Passwort-Seite, dort kannst Du ein neues Passwort in ein Formular hacken. Ergebnis ist eine "Danke"-Seite, parallel dazu wird Dir eine Mail mit einer Aktivierungs-URL (mit einem individuellen, zufälligem Aktivierungs-Code) an Deine im System hinterlegte Adresse geschickt. Das neue Passwort ist nur zwischengespeichert, zusammen mit dem Aktivierungscode, Dein Account hat immer noch das alte Passwort. Besuchst Du die Aktivierungsseite, mußt Du Account-Namen und das neue Passwort eingeben, erst dann wird das neue Passwort in Deinen Account geschrieben und Du bist gleichzeitig eingeloggt. Ein Cron-Job räumt regelmäßig alle veralteten Aktivierungs-Codes (>2 Tage) aus dem System. In der Mail steht dick und fett drin: "NICHT KLICKEN, wenn Du nicht selbst ein neues Passwort angefordert hast".
Alexander
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
Matthias Apsel
Der Martin