Andreas: Passwort-vergessen Funktion

Beitrag lesen

SELF-Forum

Passwort-vergessen Funktion

Andreas
Informationen zu den Bewertungsregeln

Hallo Cheatah!

Wenn man das passwort vergessen hat, gibt man in ein Formular seine Email-Adresse ein, dann wird geprüft ob die Adrresse genau einmal vorkommt,

unsicher. Die Mailadresse hat man _vorher_ im Account hinterlegt - ausschließlich an diese wird gesendet.

Kommt ja aufs selbe raus, wenn die Adresse in der DB 0 mal oder mehr als 1 mal vorkommt wird eh nicht versendet! In jedem Datensatz steht eine Email-Adresse, da das vorher für die Anmeldung notwenig war, und der Datensatz wird auch nur angelegt, wenn die Email-Adresse richtig war, denn  beim Anmelden wird dem User an die angegebene Adresse eine Mail mit den Zugangsdaten geschickt, und wenn da was nicht stimmte wird er erst gar nicht aktiviert!

wenn ja wird ein neues Passwort generiert, [...]

Ja, das hat nämlich den Vorteil, dass Du das Passwort gecryptet speichern kannst.

ja, das mache ich ja, daher auch ein neues und nicht das alte Passwort!

Richtig. Aus diesem Grund _musst_ Du die Angabe des Loginnamens verlangen. Wenn er diesen auch nicht mehr weiß, muss er sich an Dich persönlich wenden, und Du entscheidest mit Deinem Menschenverstand, ob er glaubhaft ehrliche Absichten hat. Es ist nicht schlecht, "menschliche" Prüfungsmechanismen vorzusehen; z.B. die Frage nach dem Mädchennamen der Mutter oder anderen individuellen Daten. Wichtig: Diese Daten zu kennen ist kein _Beweis_, sondern nur ein Indiz.

Also ist das zusenden der Zgangsdaten lediglich bei Eingabe de email-Adresse schonmal disqualifiziert. Also wenn username auch vergessen nur über direkten Kontakt. Hast Recht. Da man den aber selbst wählen kann ist das eh unwahrscheinlich.
Dann kann ich den Username auch direkt im Passwort-Vergessen Formular abfragen, und dem entsprechen dei email-Adresse raussuchen. Hat es denn dann noch Sinn zusätzlich nach der Email-Adresse zu fragen? Bräuchte man ja eigentlich nicht, aber wäre wieder ein Stück sicherer, was meist Du?
Ihre Email Adresse wissen die meisten Leute wohl, und wenn es mehrere sind muß man halt ein paar mal probieren,  oder?

Grüße
Andreas

Cheatah

Beitrag melden
Informationen zu den Bewertungsregeln