Hallo m.,

nach Rücksprache mit meinem Anwalt soll ich wie folgt vorgesehene wenn es wirklich ein Sicherheitsrisiko darstellt:

• Passwörter in der Datenbank komplett löschen
• User gibt sein Passwort ein, es schlägt fehl, die Datenbank erkennt dass das Feld leer war
• Meldung ausgeben warum der Login nicht möglich war
• Link anbieten um Passwort neu zu vergeben
• Passwort "richtig" speichern
• Fertig

Er meinte auch, in so einem Fall auch wenn der User keine Einwilligung gegeben hat, dürfte man ihm eine Mail schicken, da es hier um Sicherheit geht und diesem dem User nur zu gute kommt.

Bis bald!
Meowsalot (Bernd)