Hallo Axel,

Sollte ein User sein Passwort vergessen, lässt Du einfach ein neues nach dem Zufallsprinzip erstellen und sendest ihm das per Mail zu.

Dabei darf man aber auf keinen Fall vergessen, dass dann bis zum nächsten Login auch das alte Passwort noch gilt. Erst beim Login wird entschieden, welches Passwort weiterhin das einzige gültige ist, nämlich genau das, welches bei diesem Login verwendet wurde.

Sonst kommt irgend ein Unbefugter daher, der so tut, als ob er bei einem fremden Account das Passwort vergessen hat. Und wenn der eigentliche Inhaber des Accounts die E-Mail nicht bekommt (nicht jeder gibt seine haupt-E-Mail Adresse bei Registrierungen an), könnte dieser sich sonst nämlich nie mehr einloggen, weil das alte Passwort bereits verworfen wurde.

Robert