Moin!

Ich finde den Weg Passwort vergessen -> neues Passwort aber auch aus einem anderen Grund besser: Der Benutzer hat das alte Passwort bereits vergessen, wenn man es ihm noch einmal zuschickt, wird sich das wahrscheinlich wiederholen.

Die Frage ist dann aber: Wer kann veranlassen, dass ein neues Passwort zugeschickt wird? Der Benutzer selbst kann sich gegenüber dem System nicht mehr authentifizieren. Er kann nur noch seine Benutzerkennung und z.B. seine EMail-Adresse angeben, an die das (alte oder neue) Passwort geschickt werden soll.

Das Problem, was ich dabei sehe: Wenn man in ein Formular einfach seine Benutzerkennung eingibt, und dann an die in den Benutzerdaten angegebene Mailadresse ein Passwort geschickt wird, kann man sowas prima mißbrauchen, indem man allen Teilnehmern (Benutzerkennungen sind auch der Webalizer-Statistik bekannt) ständig neue Passwörter zuschickt. Wenn ich mir ständig neue Passwörter merken müßte, bzw. ständig nicht ins Forum kann, weil ein Scherzkeks mein Passwort neu für mich angefordert hat, dann ist das nicht nur "etwas" nervig.

Es müßte also entweder in der Mail nur ein Link vorhanden sein, der den Passwortvorgang startet (mit einem nicht ratbaren Einmalschlüssel, den dann nur der Mailempfänger kennt), oder dem System eine Sicherheitsfrage bekanntgemacht werden, die man als hilfsweise Authentifizierung benutzen könnte, um den Anforderungsvorgang anzustoßen.

- Sven Rautenberg