Wouzhuo: Diskussion: Usern ein vergessenes Passwort zuschicken

Beitrag lesen

Hallo alle miteinander.

Dank einer spontanen Assoziation, musste ich über etwas nachdenken. Wie ihr sicher alle wisst, gibt es z.B. diverse Forensoftware, die eine Funktion enthält, mir der ein Benutzer ein neues Passwort anfordern kann, wenn er das alte vergessen hat.

Nun ist dies natürlich umständlich, weil er sich ein neues Passwort merken muss.

Daher gibt es natürlich auch die Möglichkeit, ihm sein altes Passwort zuzuschicken, was zumindest den Vorteil hat, dass er sein altes Passwort schon kennt und es sich daher auch besser merken kann.
Daher gibt es vermutlich (zumindest nehme ich obiges als Hauptgrund an) Software, die dem Benutzer sein altes Passwort zuschickt.

Das geht aber natürlich nur, wenn das System das Passwort im Klartext kennen kann. Dass Passwort deswegen als Klartext und nicht gehasht abzuspeichern ist natürlich aufgrund eines möglichen Einbruchs in das System sehr sicherheitskritisch.
Aber was gäbe es für gute Alternativen?

Meine Idee wäre gewesen: die Passwörter werden mit einem öffentlichen Schlüssel (also asymmetrisch) verschlüsselt und so gespeichert. Auf einem anderen Server (B) liegt ein einfaches (und damit äußerst sicheres) Programm, in dem der private Schlüssel enthalten ist. Falls nun ein User sein Passwort vergisst, übermittelt der ursprüngliche Server das verschlüsselte Passwort an Server B. Selbiger entschlüsselt das Passwort mit dem privaten Schlüssel und schickt es zurück an Server B, welcher es dann wiederum an den User schickt.
Dies hat den Vorteil, dass man z.B. die Anzahl der zu entschlüsselnden Passwörter kontrollieren kann. Z.B. könnte Server B nur 10 Passwörter pro Tag zulassen und würde dadurch verhindern, dass ein Einbrecher die Passwörter auch gleich entschlüsseln lässt.

Was haltet ihr von dieser ganzen Sache? Gäbe es noch eine bessere/sicherere Möglichkeit oder empfindet ihr das Zuschicken des alten Passworts sowieso als unnötig?

Grüße.