hallo,

ich bin gerade dabei, eine Funktion fuer eine Seite zu programmieren, die einem User der sein Login-Passwort vergessen hat ein neues generiert und zusendet.

Zuerst hab ich mir mal angeschaut, wie das verschiedene andere Seiten machen.

Etwas erstaunt war ich bei einer Seite, die mir mein altes Passwort im Klartext zugesendet hat. Ich dachte immer, dass es aus Sicherheitsgruenden ueblich ist, Passwoerter nur in verschluesselter Form abzuspeichern. Irre ich mich da?

Weiterhin wuerden mich eure Tipps interessieren, was die beste Methode fuer eine Passwortzusendefunktion (keine ahnung wie man sowas nennt) ist.
Ich habe in der Datenbank u.a. die Felder Login, Email, Vorname, Zuname, Passwort (verschluesselt).
Ich hab mir gedacht,es reicht, wenn der User der das Passwort vergessen hat einfach seine Email-Adresse angibt (die sollte er ja kennen) und bekommt dann ein neu generiertes Passwort (und nochmal seinen Login) an diese Adresse zugesendet (falls die Adresse in der Datenbank vorhanden ist). Gibts hier ein Sicherheitsrisiko?

mfG,
steckl