Hallo und guten Tag,

Garnicht. Wenn ein Benutzer ein neues Passwort anfordert, soll ihm per Email ein Link mit einem Zufallsstring in der URL zugesandt werden, mit dem eine Seite aufgerufen wird, auf der er selbst ein neues Passwort festlegen kann. Dieser Link hat zeitlich begrenzt (z.B. 15 Minuten) gültig zu sein.

Das fängt aber nicht den Fall ab, dass das Mailkonto gekapert wurde oder die Mailübertragung mitgelesen wird.

Den Fall kannst du als Seitenanbieter nicht abfangen. Du hast den Übertragungsweg nicht unter Kontrolle. Allerdings war das auch nicht Gegenstand deiner oben stehenden Frage.

Eine Idee hätte ich noch.
Wenn der eMail-Name für das Passwort nirgends in der Publikation offengelegt wird (und dies der User selber auch nicht tut), und der Username (Anmeldename) in der eMail mit dem Link nirgendwo auftaucht, dann könnte dieser anschließend ein Secret darstellen, also den Gegenschlüssel zum übersandten Token (wenn auch nur ein sehr schwaches). Mit Klick auf den Token-Link käme man dann zu einer https-Webseite, die den Besucher nach seinem Anmeldenamen fragt. Ein Versuch frei, bei Fehler Mülltonne und Warnung ins Log, sonst Abfrge nach neuem gewünschten Passwort.

Und dann kann man immer noch entscheiden, ob der neue Hash derselbe sein darf, wie der alte in der DB, nur um diese andere Idee dazu nicht zu vergessen.

Grüße
TS