Passwort vergesen Funktion

**TobiaZ** · 08.04.2005, 10:40

Falsches Forum!

und *verschieb*

Na, so viel ist nicht dabei:

du brauchst nicht mehr felder, als du vorher auch hast.

du speicherst einfach ein neues PW in der DB und sendest dieses per Mail an den User. FERTIG!

**Schnoop** · 08.04.2005, 10:42

Das kommt darauf an wie du die PW's speichern willst.
Die verschlüsselte Variante a la md5() verkompliziert das Verfahren des PW anfordern. Da md5() eine Einwegverschlüsselung ist, müßtest du das PWfeld erst mit einem zufälligen PW überschreiben, und das dem User via Mail zukommen lassen.

Solltest du das PW nicht verschlüsseln, so kannst du, wenn der User es vergessen hast einfach an seine registrierte Emailadresse rausschicken.

Als DB Feld fällt im Grund nur das Feld zum speichern des Passwortes an.

**TobiaZ** · 08.04.2005, 10:43

obs leute gibt, die PW nicht verschlüsseln?

**Schnoop** · 08.04.2005, 10:48

Naja, ich kenn Seiten wo ich wenn ich mein PW vergessen hatte, das wieder im Orginal zurückbekommen habe.
Okay, mag sein das die eine eigenen Mehrwegverschlüsselung benutzt haben.

**launebaer** · 08.04.2005, 10:50

sorry wegen eintrag im falschen forum !

Also ich habe es schon vor verschlüsselt zu speichern bzw mache ich ja schon !

ich habe mir es so gedacht ....

Ich lasse von den user eintragen :

Username und E-mailadresse ... dann bekommt er eine Email und kann per link sein Passwort ändern lassen !

Nach dem abschicken beider sachen wird in ein zusätzliches feld eine zufallszahl eingetragen was dann auch in der email im link mit drin steht , z.b. w w w.blabla,de?Name=test&Zahl=Zufallszahl .....

drückt er nun den link wird geprüft ob die zahl im link mit der in der datenbank übereinstimmt und dann erst ändert er das Pw und schickt ihn ein zufalls PW zu !

Meine Frage nun , ist diese Methode sinnvoll und sicher oder zu kompliziert und quatsch ?

mfg launebaer

**Arni** · 08.04.2005, 10:52

Naja ,
die einfachste Variante ist doch wohl, einfach das alte Passwort zusenden,
wenn der Benutzername und Email stimmen, mehr ist es nicht.
Du musst also theoretisch nur die Email prüfen und das Passwort dann halt an die eingetragene Email zusenden, fertig mehr nicht !!

**Schnoop** · 08.04.2005, 10:54

Kompliziert und unsicher!

Wenn der User sein PW vergessen hat, kann er einfach seinen Usernamen und emailadresse eingeben und abschicken.

Du suchst dazu dann die Daten in der Db und überschreibst das PW mit einer ZahlenBuchstabenkombi.

Die schickst du jetzt dem User.

Damit kann er sich einloggen und sein PW ändern.

Fertig.

**launebaer** · 08.04.2005, 10:54

es steht im MD5 und ich glaube der code nützt den user nichts ......

oder versteh ich da was falsch und es geht doch so wenn es im MD% steht ?

**Schnoop** · 08.04.2005, 10:55

Original geschrieben von Arni
Naja ,
die einfachste Variante ist doch wohl, einfach das alte Passwort zusenden,
wenn der Benutzername und Email stimmen, mehr ist es nicht.
Du musst also theoretisch nur die Email prüfen und das Passwort dann halt an die eingetragene Email zusenden, fertig mehr nicht !!

Joa, dann mach mal! *g*

Wenn das PW verschlüsselt ist, kannst du es dem User wohl schlecht zusenden.

**Arni** · 08.04.2005, 10:56

Wenn das PW verschlüsselt ist, kannst du es dem User wohl schlecht zusenden.

Habe ich irgendwo etwas von verschlüsseln geschrieben ????????

Ich habe doch wohl geschriebn "DIE EINFACHSTE " oder

**mrhappiness** · 08.04.2005, 10:57

Original geschrieben von launebaer
drückt er nun den link wird geprüft ob die zahl im link mit der in der datenbank übereinstimmt und dann erst ändert er das Pw und schickt ihn ein zufalls PW zu !

er ändert das passwort und du schickst ihm ein zufallspasswort zu?

Schick in der ersten Mail den Link zum Freischalten und das Initialpasswort, das du zufällig generiert hast.

Der Benutzer kann das Passwort ändern oder beibehalten.

Vergisst er das Passwort, generierst du ein neues und schickst es an die Mailadresse in seinem Profil. Dabei ist keine weitere Freischaltung nötig meiner Meinung nach.

**launebaer** · 08.04.2005, 10:58

Original geschrieben von Schnoop
Kompliziert und unsicher!

Wenn der User sein PW vergessen hat, kann er einfach seinen Usernamen und emailadresse eingeben und abschicken.

Du suchst dazu dann die Daten in der Db und überschreibst das PW mit einer ZahlenBuchstabenkombi.

Die schickst du jetzt dem User.

Damit kann er sich einloggen und sein PW ändern.

Fertig.

naja einfach überschreiben wollte ich es denn auch nicht , stell dir vor ein user weiss von seinen freunden die email und macht sich einen spass und vergisst mal all deren passwörter !

De versuchen sich einzulogen und kommen net rein und schasuen vielleicht net mal in den emails nach ....

Aber danke für die Tips werd mir mal was basteln

mfg laune

**TobiaZ** · 08.04.2005, 11:01

wieso habt ihr hier so schnell geantwortet? da hab ich gard mal n bisschen im ooo gelesen und schon ist hier alles voll. gehe nurnoch aufs OT hier ein:

OffTopic:
Okay, mag sein das die eine eigenen Mehrwegverschlüsselung benutzt haben.

Die ist aber fast genauso sinnlos wie die unverschlüsselte version!

**Schnoop** · 08.04.2005, 11:04

OffTopic:
Ja dann nutzen die Seiten wohl keiner Verschlüsselung

Passwort vergesen Funktion