nicht angemeldet
Hi molily,
Und andererseits würde eine ausschließlich verschlüsselte Speicherung des Kennwortes die potentielle Funktionalität des Forums einschränken. Ich halte beispielsweise eine Funktion, sich ein vergessenes Kennwort per Mail zusenden zu lassen, für sinnvoll (besser als das Entstehen von "Benutzer-Leichen" und vor allem das erzwungene Wechseln der Poster-Identitäten, weil ein früherer Name eines Posters mit Vergessen seines Kennworts unbenutzbar wird).
ACK, ich würde zu diesem Zweck schlichtweg ein neues Kennwort vergeben (siehe Christians Posting), mit der von dir angesprochenen Möglichkeit, dass der Benutzer sein Passwort nach der automatischen Passwortvergabe selbst ändern kann, um vielleicht ein nicht weniger hexakryptisches aber durch die Anwendung eigener Bildungsregeln entstandenes Passwort zu wählen.
Bei einem Höchstmaß an Sicherheit muss man IMHO den Komfort vergessen und dem Benutzer von Anfang an sichere Passwörter zuweisen, wie du schreibst, und ihm nicht erlauben, dieses Passwort zu ändern.
Will ich ein Höchstmaß an Sicherheit? Oder will ich ein ausreichendes Maß an Sicherheit in Kombination mit einem Höchstmaß an Komfort? Diese Frage versuche ich (für mich bzw. unsere Firma) an der entsprechenden Stelle gerade zu entscheiden (bevor ich eine solche Funktion zu bauen beginne).
Wie aber realisierst Du diese Funktion, ohne das Kennwort in einer irgendwie decodierbaren Form zu speichern?
Ich dachte daran (Spinnerei), dass der Server die das Passwort beim Registrieren mit dem OpenPGP (GnuPG/PGP...) Public Key des Users verschlüsselt, sofern ein Keyserver diesen führt, und dies bei jeder Authentifizierung wiederholt (urgs!) und die entstehende Cipher mit der bei der Registration erzeugten abgleicht.
Und wieviel davon versteht ein 0-8-15-Anwender, der nicht mal weiß, daß das Programm, welches ihm den Zugriff auf "das Internet" (gemeint ist das WWW) ermöglicht, allgemein mit dem Begriff "Browser" bezeichnet wird? (Und der auf seinem Arbeitsplatz-Rechner selbstverständlich keinerlei Software installieren darf.) Meine Zielgruppe sind nicht Webworker, sondern Kunden ... 8-\
Viele Grüße
Michael