Hello,

Da gibts ein schönes Loginscript. Da kann man sich einloggen. Doof nur wenn man sein Passwort vergessen hat. Macht aber nichts, dafür gibts ja die "Passwort vergessen" Funktion. Da klickt man drauf, ein neues Passwort wird generiert und dann?

Wie bekomme ich das neue Passwort sicher zum User? Man muss dem User irgendetwas mitteilen also muss eine E-Mail verschickt werden.

Mach zwei Teile draus.

Im "Neues Passwort anfordern"-Formular muss der User eine PIN (z.B. einen sechsstelligen Code) eingeben, die dann später immer dem neu generierten Passwort anzuhängen (oder vorauszustellen) ist, ganz nach Belieben.

Damit müssten dann sowohl der HTTP-Kanal, als auch der SMTP/IMAP-Kanal abgehört werden. Wer das kann, kann sowieso direkt auf den Server oder auf den Client gucken

Das ist bei Ressourceträgern, die nicht im eigenen Reich stehen, immer so eine Sache. Da könntest Du sogar den Übertragungsweg verschlüsseln und es würde nichts ändern.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg