Moin Moin !

Vergib einfach ein neues, generiertes Password und speichere es als MD5-Hash in deiner DB.
Dann wird ja das alte ungültig. Und was, wenn jemand zum Spaß für andere User Passwörter zuschicken läßt?

Das muß ja nicht automatisch passieren. Bei einer kleinen Benutzergruppe läßt sich das wesentlich "dichter" machen, wenn nur ein Administrator/Supporter den Mailversand auslösen kann. "Spaßvögel" fallen dann schnell auf. Und die Mail wird natürlich nur an eine registrierte Mailadresse verschickt.

Bis der User sich das erste Mal mit dem neuen Passwort angemeldet hat, müssen beide gültig sein - wenn er sich dann mit dem neuen anmeldet, wird das alte weggeworfen, und wenn er sich mit dem alten anmeldet wird eben das neue weggeworfen.

Das erhöht nur den Verwaltungsaufwand. Das alte Password wird gnadenlos überschrieben. Egal ob Spaßvogel oder Ernstfall, der User hat sein neues Password bekommen.

Klar, die bekommt trotzdem der User, wenn das aber öfter vorkommt, wäre das nervig.

Wie gesagt, ein Admin/Supporter dazwischen und gut is'.

ja, aber es kann auch sein, dass er seine Mails gerade nicht abrufen kann, oder dass die Mail irgendwo verlorengegangen ist.

Wer ins Netz kommt, sollte auch an die Mails kommen. Auch dieses Problem löst ein zwischengeschalteter Admin/Supporter.

Das ist hier (in der Firma) tägliche Praxis mit über 2000 Leuten.

Alternative für vollautomatischen Betrieb: Bevor man ein neues Password zugeschickt bekommt, muß man eine persönliche, schwer richtig zu erratende Frage beantworten, die (zusammen mit der Antwort) vorher im System abgelegt wurde. Z.B. Geburtsname der Oma mütterlicherseits, wie viele Brüder hat der Vater, Lieblingsfarbe, usw. Das bremst "Spaßvögel" schon mal kräftig aus.

Auch der Hinweis, daß alle Daten beim Zusenden eines neuen Passwords aufgezeichnet und ausgewertet werden, bremst "Spaßvögel".

Alexander