Hallo Charlie,

ist es sinnvoll, nach z.B. zehn Fehlversuchen den Account zu deaktivieren und dem Besitzer eine eMail zu schicken, die einen Link enthält um den Account wieder zu aktivieren?

deine Bedenken sind imho schon richtig, vielleicht baust du eine Zeitsperre ein, die den Account nach ca. 5min o.ä. wieder "freigibt" (aber nicht hinschreiben, wie lange der Account noch gesperrt ist).

Einfach ein neues Kennwort zuweisen und dass dann per mail verschicken ist evtl. auch nicht so sinnvoll, da ich ja nicht davon ausgehen kann, dass nicht wieder jemand einen User ärgern möchte.

du kannst das Passwort ja zuschicken (nur 1x am Tag oder so möglich) aber erst beim nächsten Login entscheiden, welches Passwort weiterverwendet wird (wenn das neue benutzt wird wirfst du eben das alte weg und umgekehrt).

Mein Favorit ist jetzt ein mail-basiertes Challenge Response Verfahren (a la Microsoft): "Haben Sie ihr kennwort wirklich vergessen ? Klicken Sie hier, um ein neues Zugewiesen zu bekommen".

mhh... ich kenne das crv nicht, aber wo liegt da der Unterschied?

Grüße aus Nürnberg
Tobias