Schrift
[thread]2882[/thread]

Vergessenes Passwort...: zuschicken, ändern oder wie auch immer!



<< >> 8 Einträge, 1 Seite
Crian
 2003-12-02 12:19
#28368 #28368
User since
2003-08-04
5872 Artikel
ModeratorIn
[Homepage]
user image
Die Frage ist spannend, aber man kann nicht gerade bahaupten, dass es eine Perl-Frage wäre, ich verschieb den Thread mal...

Auf jeden Fall würd ich von Klartextpassworten abraten ^^
s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite
Magic
 2003-12-02 12:17
#28369 #28369
User since
2003-09-30
91 Artikel
BenutzerIn
[Homepage] [default_avatar]
Hi,
ich zerbreche mir schon seit ein paar Tagen den Kopf, wie ich Forumbenutzern die Ihr Passwort vergessen haben ihr vergessenes zusenden kann. (Jaja, per eMail, weiss ich auch *g). Problem ist, die Passwörter liegen in einer MySQL-Datenbank und sind mit PASS() verschlüsselt worden, damit sie nicht im klartext für jedermann in der Tabelle liegen.
Vergisst aber ein Benutzer nun sein Passwort, muss ich ihm irgendwie ein neues Zukommen lassen, da ich an das Original ja nicht mehr rankomme.
Wer jetzt sagt "is doch kein Thema" hat sich geschnitten dachte ich nämlich auch erst, aaaaber wenn nun der Benutzer sein Passwort vergessen hat und ein "neues" zugeschickt bekommt, muss das alte geändert und durch das neue ersetzt werden. Macht sich nun jemand einen Spass und klickt dauernd bei Anderleuts Namen auf Passwort vergessen, dürften dieses auf Dauer arg genervt sein, wenn sie ständig neue Passwörter zugeschickt bekommen. Und leider muss man ja heute immer mit solchen Deppen rechnen.
Jetzt hab ich mir zwar was ausgeknobelt mit neuem Passwort und Aktivierung des Passwortes per eMail usw., wollte aber auch nochmal nachhorchen ob Ihr da irgendwelche Ideen habt.
Wie wird das in anderen Foren gehandhabt, weiss das jemand?
Die Passwörter der User im Klartext rumliegen lassen ist nicht sonderlich gloreich, oder?

Gruss
Stefan
Ein Weiser gibt nicht die richtigen Antworten, sondern er stellt die richtigen Fragen.
pq
 2003-12-02 14:11
#28370 #28370
User since
2003-08-04
12208 Artikel
Admin1
[Homepage]
user image
neues passwort zuschicken ist eine gängige praxis. du kannst ja in der mail einen aktivierungslink
anbringen, d.h. erst wenn der user diesen anklickt, wird das neue passwort aktiv. dann kann der
user sich einloggen und das passwort nach seinem geschmack ändern. wenn der user den link nicht
anklickt, verfällt der nach 3 tagen, und das neue passwort wird niemals aktiv.
ich glaub, so funktioniert das bei heise.de
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
Relais
 2003-12-02 14:22
#28371 #28371
User since
2003-08-06
2246 Artikel
ModeratorIn
[Homepage] [default_avatar]
Und die Antwort auf die Frage: Du machst Dir nicht die Mühe, sein altes Passwort herauszufinden sondern generierst ein neues. Das schickst Du ihm zu, tja, weiter wie bereits von @pq beschrieben.
Erst denken, dann posten --
27. Deutscher Perl- u. Raku -Workshop (Termin wird noch gesucht) 2025 in München.

Winter is Coming
Magic
 2003-12-02 14:48
#28372 #28372
User since
2003-09-30
91 Artikel
BenutzerIn
[Homepage] [default_avatar]
Ja aber... das ist für den ein oder anderen schon wieder zu kompliziert und die kapieren das nicht.
Das ist ja eihentlich der Grund warum ich überhaupt frage. So wie pq vorgeschlagen hat, schwirrte es mir auch schon durch den Kopf. Ist aber nicht ganz 100%ig idiotensicher.
Ich dachte ihr hättet vielleicht ne einfachere Lösung...

Gruss
stefan:)
Ein Weiser gibt nicht die richtigen Antworten, sondern er stellt die richtigen Fragen.
pq
 2003-12-02 15:11
#28373 #28373
User since
2003-08-04
12208 Artikel
Admin1
[Homepage]
user image
[quote=Magic,02.12.2003, 13:48]Ja aber... das ist für den ein oder anderen schon wieder zu kompliziert und die kapieren das nicht.
[/quote]
was kann man daran nicht kapieren?
"Sie haben darum gebeten, ein neues Passwort zugeschickt zu bekommen.
Eventuell hat sich auch jemand einen Scherz erlaubt, deswegen möchten
wir Sie bitten, die Anfrage mit folgendem Link noch einmal zu bestätigen.
Wenn Sie auf den Link klicken (oder ihn in Ihren Browser kopieren),
wird Ihr neues Passwort '...' aktiv. Sie können dann in Ihren
Nutzereinstellungen ein neues Passwort eingeben.
Falls die Anfrage nach einem neuen Passwort nicht von Ihnen stammt,
ignorieren Sie diese Mail bitte; sie können einfach weiter mit Ihrem gewohnten
Passwort arbeiten; nach fünf Tagen wird der Link inaktiv.
Bestätigungslink:
http://...
"
Quote
Das ist ja eihentlich der Grund warum ich überhaupt frage. So wie pq vorgeschlagen hat, schwirrte es mir auch schon durch den Kopf. Ist aber nicht ganz 100%ig idiotensicher.

so funktioniert das, wie ich schon sagte, bei heise.de, wenn ich mich nicht
täusche. und bei sovielen idioten, die im heise-forum vertreten sind, ist
die methode ganz bestimmt idiotensicher... SCNR\n\n

<!--EDIT|pq|1070370777-->
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wiki:Wie frage ich & perlintro Wiki:brian's Leitfaden für jedes Perl-Problem
Magic
 2003-12-02 20:40
#28374 #28374
User since
2003-09-30
91 Artikel
BenutzerIn
[Homepage] [default_avatar]
Hm..
dann werd ich's so machen. Aber ich hatte schon Tester dabei, die nicht kapiert haben, das sie den link in der anmeldebestätigung klicken müssen, um die anmeldung abzuschliessen. und ich habs schon für gaaaanz doofe formuliert.
glaub mir, die menschheit ist nicht so schlau wie man gemeinhin annehmen möchte. gerade im internet, bzw. am pc, sind die meisten so unbeholfen wie ein 8 jähriger im puff.

gruss
stefan
Ein Weiser gibt nicht die richtigen Antworten, sondern er stellt die richtigen Fragen.
esskar
 2003-12-03 01:07
#28375 #28375
User since
2003-08-04
7321 Artikel
ModeratorIn

user image
anstatt dem user das passwort zuzuschicken, könnte man auch einfach einen link schicken, der eine session-id enthält, die es dem user erlaubt, ein neues passwort einzugeben!!!
<< >> 8 Einträge, 1 Seite



View all threads created 2003-12-02 12:19.