Passwort vergessen - Funktion

[mmemichi]

Hallo zusammen!

Ich habe schon mit der Bordsuche gesucht, aber leider nix gefunden und darum stelle ich euch mal diese Frage:

Bei diesem Tutorial suche ich eine Passwort-Vergessen-Funktion. Gibt es hier bereits eine Vorlage, die das Passwort nach eingabe der E-Mailadresse oder des usernamens an den User sendet?:
http://www.tutorials.de/forum/php-tutorials/9684-php-mysql-login-system-mit-sessions.html

greez,
mmemichi

PS: Oops ganz vergessen, man muss dort ja gar keine E-Mailadresse angeben, aber wenn schon, wäre dies interessant

 

[Gumbo]

Am besten generierst du einen Zufallsschlüssel, der den Zugang zum Ändern des Passworts gewährt (dies am besten mit zusätzliche, nicht trivialer Sicherheitsfrage), und sendest ihn an die angegebene E-Mail-Adresse. Diese sollte zusätzlich mit einer Gültigkeitsdauer versehen und nach Anwendung sofort entwerten.

Das gespeicherte Passwort selbst zu verschicken, ist keine gute Idee. Denn einerseits solltest du Passwörter nie als Klartext sondern nur in kryptischer Form (verschlüsselt oder noch besser: nur ein Hash-Wert) speichern. Andererseits kann eine E-Mail, falls sie nicht verschlüsselt ist, prinzipiell abgefangen werden und das ursprüngliche oder neue Passwort wäre damit nicht mehr geheim.

 

[mmemichi]

Ufff, ich merke, ich muss meine PHP - Kenntnisse mal erweitern und den Login-Bereich überarbeiten... Trotzdem vielen Dank für die rasche Antwort!

greez,
mmemichi

 

[Gumbo]

Das hat nicht unbedingt etwas mit PHP zu tun sondern vor allem mit Datensicherheit.