Hallo, Sven,

Passwort vergessen -> neues Passwort
Wer kann veranlassen, dass ein neues Passwort zugeschickt wird? (...)
Wenn man in ein Formular einfach seine Benutzerkennung eingibt, und dann an die in den Benutzerdaten angegebene Mailadresse ein Passwort geschickt wird, kann man sowas prima mißbrauchen, indem man allen Teilnehmern (...) ständig neue Passwörter zuschickt.
Es müßte also [...] dem System eine Sicherheitsfrage bekanntgemacht werden, die man als hilfsweise Authentifizierung benutzen könnte, um den Anforderungsvorgang anzustoßen.

Du meinst sicher... "Wie heißt ihre erste Liebe?" oder "Wie heißt der Mädchenname ihrer Mutter?" und ähnliche Fragen... *g*
Diese Methode ist tatsächlich bewährt, zumindest wenn man sie klug implementiert. Der Benutzer müsste Frage und Antwort selbst wählen können, wobei dies nicht unbedingt keine Sicherheit garantiert. Zumindest ist der Kreis derjenigen, die Fragen wie die eben genannten beantworten könnten, sehr klein, wodurch raten sehr schwierig wird und ein Wörterbuchangriff bei serverseitiger Verzögerung und einer "Verbindungen pro IP"-Begrenzung recht aussichtsarm wäre.

Zudem müssen geänderte Email-Adressen in Kauf genommen werden, dann muss ein neuer User her... Oder gibt es eine bessere Methode, wenn der Benutzer zusätzlich das Passwort vergessen hat? Ist die "Masterfrage" einzig als Authentifizierung zulässig? Ich würde in dem Fall schlichtweg eine signierte Nachricht an den Admin (oder an einen automatisierten Empfänger, der die Unterschrift mittels GnuPG prüft) schicken, ein Keyserver führt zumindest immer den zu einer E-Mail passenden Schlüssel, was aber nicht ausschließt, dass jemand fremde Email-Adressen in seinen Schlüssel aufgenommen hat. Folglich muss man denjenigen anrufen und nach dem Fingerprint fragen, aber garantiert das nachträglich, dass der einst angemeldete Benutzer identisch mit dem neuen ist...? Schon die erste Anmeldung müsste signiert verlaufen.
(Natürlich wieder nur eine Theorie. ;) Wer hat da Biometrie und Gentechnik gesagt? ;))

Grüße,
Mathias