Hallo zusammen,

ich arbeite zur Zeit an einem CMS mit personalisierten Seiten. Zur Authentifizierung benutzen wir eine MySql Datenbank, die u.a. die Logins, die mit md5 gehashten Kennwörter und die eMail Adressen der User enthält.

Bei einem falschen Kennwort zählen wir die fehlerhaften Loginversuche hoch. Meine erste Frage: ist es sinnvoll, nach z.B. zehn Fehlversuchen den Account zu deaktivieren und dem Besitzer eine eMail zu schicken, die einen Link enthält um den Account wieder zu aktivieren? Hintergrund ist, dass versucht werden kann, die Kennwörter zu knacken. Auf der anderen Seite könnten Angreifer einen User, deren Login sie kennen somit gehörig nerven.

Meine zweite Frage: Wie realisiere ich ein "Passwort vergessen" - Feature? Basieren könnte das ganze auf der eMail Adresse. Leider können wir da Login und Kennwort nicht einfach hinschicken, da das Kennwort ja gehasht ist. Einfach ein neues Kennwort zuweisen und dass dann per mail verschicken ist evtl. auch nicht so sinnvoll, da ich ja nicht davon ausgehen kann, dass nicht wieder jemand einen User ärgern möchte. Mein Favorit ist jetzt ein mail-basiertes Challenge Response Verfahren (a la Microsoft): "Haben Sie ihr kennwort wirklich vergessen ? Klicken Sie hier, um ein neues Zugewiesen zu bekommen".

Was sagt Ihr dazu? Gibt es im Internet irgendwo eine Doku, wie das bei professionellen Communities gemacht wird?

Greetings,
Charlie07