Gunnar Bittersmann: Token bzw. Passwort generieren / php

Beitrag lesen

@@Auge

Gilt also, dass der Alternativtext einer HTML-mail nicht gelesen werden kann, wenn die mail abgefangen wird?

Natürlich kann er das. HTML ist Klartext und kann damit gelesen werden, sofern die E-Mail in diesem Moment nicht verschlüsselt vorliegt.

Eben.

sollte jedem Leser klar sein, was in der E-Mail das Passwort ist.

Ja: Es ist Unfug.

Wem es gelingt, die Mail abzufangen, hat eh beides, Token und Passwort. Das Passwort beitet also keine zusätzliche Sicherheit, es ist nur unnötiger Aufwand, kann also weg. Üblicherweise bekommt man nur einen Link mit Token ohne Passwort per E-Mail zugesandt; das hat schon seinen Sinn.

Mehr Sicherheit gibt’s mit längerem Token.

Kwakoni Yiquan

--
Ad astra per aspera