Hi,

Nachteil, inaktive Userpasswörter werden nie rehashed und dadurch bleibt das Login bei deinem Ansatz auf Dauer unsicher.

Dieser Umstand ist auch mit jedem anderen Ansatz nicht vollautomatisch zu beheben. Lösung ist, alle oder inaktive User mit Fristsetzung zu benachrichtigen, dass wegen modernerer Sicherheitsvorkehrungen ein Login und ggf. die Änderung des Passworts nötig ist.

Wenn das nicht erfolgt muss man halt nach Fristablauf im Interesse der inaktiven Benutzer selbst deren Einträge "brutal" löschen. Das entspricht übrigens auch der DSGVO. Stichworte "Notwendigkeit, Zweckbestimmung".

Daß bei nicht-Aktivwerden des Users dessen User-Eintrag gelöscht (bzw. gesperrt - wenn gesetzliche Regelungen die Löschung verhindern) wird, sollte in der Mail mit drinstehen.

Und es sollte in der Mail auch die Möglichkeit geben, seinen User-Eintrag sofort löschen bzw. sperren zu lassen.

cu,
Andreas a/k/a MudGuard