Die Frage ist spannend, aber man kann nicht gerade bahaupten, dass es eine Perl-Frage wäre, ich verschieb den Thread mal...

Auf jeden Fall würd ich von Klartextpassworten abraten ^^

Hi,
ich zerbreche mir schon seit ein paar Tagen den Kopf, wie ich Forumbenutzern die Ihr Passwort vergessen haben ihr vergessenes zusenden kann. (Jaja, per eMail, weiss ich auch *g). Problem ist, die Passwörter liegen in einer MySQL-Datenbank und sind mit PASS() verschlüsselt worden, damit sie nicht im klartext für jedermann in der Tabelle liegen.
Vergisst aber ein Benutzer nun sein Passwort, muss ich ihm irgendwie ein neues Zukommen lassen, da ich an das Original ja nicht mehr rankomme.
Wer jetzt sagt "is doch kein Thema" hat sich geschnitten dachte ich nämlich auch erst, aaaaber wenn nun der Benutzer sein Passwort vergessen hat und ein "neues" zugeschickt bekommt, muss das alte geändert und durch das neue ersetzt werden. Macht sich nun jemand einen Spass und klickt dauernd bei Anderleuts Namen auf Passwort vergessen, dürften dieses auf Dauer arg genervt sein, wenn sie ständig neue Passwörter zugeschickt bekommen. Und leider muss man ja heute immer mit solchen Deppen rechnen.
Jetzt hab ich mir zwar was ausgeknobelt mit neuem Passwort und Aktivierung des Passwortes per eMail usw., wollte aber auch nochmal nachhorchen ob Ihr da irgendwelche Ideen habt.
Wie wird das in anderen Foren gehandhabt, weiss das jemand?
Die Passwörter der User im Klartext rumliegen lassen ist nicht sonderlich gloreich, oder?

Gruss
Stefan

neues passwort zuschicken ist eine gängige praxis. du kannst ja in der mail einen aktivierungslink
anbringen, d.h. erst wenn der user diesen anklickt, wird das neue passwort aktiv. dann kann der
user sich einloggen und das passwort nach seinem geschmack ändern. wenn der user den link nicht
anklickt, verfällt der nach 3 tagen, und das neue passwort wird niemals aktiv.
ich glaub, so funktioniert das bei heise.de

Und die Antwort auf die Frage: Du machst Dir nicht die Mühe, sein altes Passwort herauszufinden sondern generierst ein neues. Das schickst Du ihm zu, tja, weiter wie bereits von @pq beschrieben.

Ja aber... das ist für den ein oder anderen schon wieder zu kompliziert und die kapieren das nicht.
Das ist ja eihentlich der Grund warum ich überhaupt frage. So wie pq vorgeschlagen hat, schwirrte es mir auch schon durch den Kopf. Ist aber nicht ganz 100%ig idiotensicher.
Ich dachte ihr hättet vielleicht ne einfachere Lösung...

Gruss
stefan:)

[quote=Magic,02.12.2003, 13:48]Ja aber... das ist für den ein oder anderen schon wieder zu kompliziert und die kapieren das nicht.
[/quote]
was kann man daran nicht kapieren?
"Sie haben darum gebeten, ein neues Passwort zugeschickt zu bekommen.
Eventuell hat sich auch jemand einen Scherz erlaubt, deswegen möchten
wir Sie bitten, die Anfrage mit folgendem Link noch einmal zu bestätigen.
Wenn Sie auf den Link klicken (oder ihn in Ihren Browser kopieren),
wird Ihr neues Passwort '...' aktiv. Sie können dann in Ihren
Nutzereinstellungen ein neues Passwort eingeben.
Falls die Anfrage nach einem neuen Passwort nicht von Ihnen stammt,
ignorieren Sie diese Mail bitte; sie können einfach weiter mit Ihrem gewohnten
Passwort arbeiten; nach fünf Tagen wird der Link inaktiv.
Bestätigungslink:
http://...
"

Quote

Das ist ja eihentlich der Grund warum ich überhaupt frage. So wie pq vorgeschlagen hat, schwirrte es mir auch schon durch den Kopf. Ist aber nicht ganz 100%ig idiotensicher.

so funktioniert das, wie ich schon sagte, bei heise.de, wenn ich mich nicht
täusche. und bei sovielen idioten, die im heise-forum vertreten sind, ist
die methode ganz bestimmt idiotensicher... SCNR\n\n

<!--EDIT|pq|1070370777-->

Hm..
dann werd ich's so machen. Aber ich hatte schon Tester dabei, die nicht kapiert haben, das sie den link in der anmeldebestätigung klicken müssen, um die anmeldung abzuschliessen. und ich habs schon für gaaaanz doofe formuliert.
glaub mir, die menschheit ist nicht so schlau wie man gemeinhin annehmen möchte. gerade im internet, bzw. am pc, sind die meisten so unbeholfen wie ein 8 jähriger im puff.

gruss
stefan

anstatt dem user das passwort zuzuschicken, könnte man auch einfach einen link schicken, der eine session-id enthält, die es dem user erlaubt, ein neues passwort einzugeben!!!