nicht angemeldet
vergessene passwörter...
Hi,
habe einen geschützen Bereich, nun möchte ich was für vergessene Passwörter einrichten.
Haltet ihr es sinnvoll, ein neues Passwort unter angabe von korrektem nickname und dazugehöriger mailadresse erhalten zu können?
Oder sollte ich bei der Anmeldung noch irgendeine Angabe abfragen, die man dann angeben muss, wenn man ein neus passwort will bei vergessen...
Aber was für eine angabe wäre da sinnvoll, oder wie könnte ich das noch lösen?
gruß
-
Servus,
Haltet ihr es sinnvoll, ein neues Passwort unter angabe von korrektem nickname und dazugehöriger mailadresse erhalten zu können?
Es ist üblich und sinnvoll. Seine Mails kann ohnehin nur der User selbst abrufen.
Oder sollte ich bei der Anmeldung noch irgendeine Angabe abfragen, die man dann angeben muss, wenn man ein neus passwort will bei vergessen...
So eine Sicherheitsfrage wie "Was ist dein Lieblingstier?", zu der jeder Mensch bei klarem Verstand natürlich nicht "Katze" angibt, sondern etwas wie "gH#BJ/fh79h!H*(HF*(_>?FJ)J", da die Frage sonst alles andere als sicher wär? "gH#BJ/fh79h!H*(HF*(_>?FJ)J" vergisst der User wohl eher als sein Passwort. Derartige "Sicherheitsfragen" halte ich für 100.1% sinnfrei.
Gruss
Patrick--
sh:( fo:| ch:? rl:( br:> n4:( ie:% mo:) va:} de:> zu:) fl:| ss:| ls:[ js:|-
So eine Sicherheitsfrage wie "Was ist dein Lieblingstier?" [...] halte ich für 100.1% sinnfrei.
Ich würde behaupten: Wenn die Besucher das ernst nehmen würden, dann wäre es alles andere als sinnfrei. Aber das ist leider kaum der Fall... . Rein statistisch hast du also wohl dann doch recht ;-)
-
Servus,
Ich würde behaupten: Wenn die Besucher das ernst nehmen würden, dann wäre es alles andere als sinnfrei.
Wenn die Besucher das wirklich Ernst nehmen würden, bräuchte man garkein Passwort zu setzen da die "Sicherheits"abfrage so einfach zu knacken wäre, wie eine Nuss :)
Gruss
Patrick--
sh:( fo:| ch:? rl:( br:> n4:( ie:% mo:) va:} de:> zu:) fl:| ss:| ls:[ js:|
-
-
-
Hallo,
es so wie du geschrieben hast zu machen scheint ja üblich zu sein und ich selber finde das eigentlich ausreichend.
Ich würde nur empfehlen: Lass dir vor Regenerierung des Passworts per E-Mail bestätigen, dass wirklich ein neues Passwort angefordert wurde um zu umgehen, dass Besucher mit öffentlicher E-Mail-Adresse durch ständig wechselnde Passwörter genervt werden. Hat jemand sein Passwort vergessen erhält er also dann zwei E-Mails:
1. Wolltest du ein neues Passwort?
Falls ja (Bestätigungslink angeklickt): 2. Dein neues Passwort lautet: ...Wenn du wirklich die Sicherheit erhöhen willst, dann könntest du die Benutzer zur Eingabe ihres realen Namens und Geburtsdatums sowie Geburtsortes zwingen um ihre Identität am Ende per Personalausweis abgleichen. Das würde ich aber in den meisten Fällen als arg übertrieben empfinden. :-)
Viele Grüße,
Johannes Röckert