Sicherheit bei der Anmeldung - Anregung zur DP
 

Hallo Administratoren und andere Leser!

Ich habe, weil ich lange nicht mehr in der DP war Passwort und Benutzername meines Profils vergessen.
Soweit kein Problem denke ich, denn ich kann mir ja beides zuschicken lassen, per e-mail.

Aber das ging nicht, weil man um sich ein neues Passwort zu schicken lassen zu können auch noch den Benutzernamen eingeben muss. In meiner Vorstellung davon wie die Welt ist, liegt es nahe, dass einer, der wie ich sein Passwort vergisst oder nicht mehr findet, auch seinen Benutzernamen verlegt.

Ich habe das Problem dann so gelöst, dass ich ein zweites Profil angelegt habe ( mit einer zweiten e-mail Adresse ), mit dem ich jetzt diese Rückmeldung schreibe.

Meine Kritikpunkte folgen:

- Passwort-Mail nur mit Benutzername
- nur ein neues Passwort kann verschickt werden
- Passwort nur mit Zahlen möglich
- nur ein Profil pro e-mail Adresse

Mir ist durchaus klar, dass das zur Sicherheit der privaten Eingaben dient; Aber ist das nicht übertrieben?

-> Eine Passwort-Mail geht doch nunmal ausschließlich an den Empfänger; oder irre ich??
-> Ich will mein Passwort behalten; Ich kann es wieder einstellen, wenn es mir eingefallen ist, aber das ist doch unnötig
-> Warum wird mir vorgeschrieben wie mein Passwort heißen soll? Das ist hier ein Forum, kein geheimes Archiv mit strengvertraulichen Akten; und Hacker (lächerlich; Wahrscheinlichkeit = 0) kann man abwehren, wenn man die Fehlversuche mitzählt und ab vielleicht 100 (pro Zeiteinheit) die Überprüfung verweigert
-> Und man kann doch nicht verhindern, dass ein Benutzer zwei Profile anlegt, und e-Mail Adressen gibt es überall; also was soll der Aufwand?

Ist nicht böse gemeint, soll aber zum Nachdenken, Antworten und Handeln anregen. :wink:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Hallo Arty,

:gruebel: was genau meinst du? Dass ich zuerst auch den Benutzernamen eingeben muss um das Passwort zu bekommen? Das ist doch bereits der Fall.

Ist auch bereits der Fall. phpBB speichert das Passwort als MD5-Hash, und aus diesem kannst du das Passwort nicht mehr rausholen. phpBB generiert einfach ein Passwort und schickt es dir zu.

:gruebel: Und welchen Sinn hat das?

Wie oben: ist bereits so.

Doch. Im Profil kannst du es aendern wenn du das meinst.

Dein Passwort wird dir nicht vorgeschrieben. Wenn du es vergessen hast wird dir ein neues gegeben, welches du danach aendern kannst.

Greetz
alcaeus

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Ich glaube, er will darauf hinaus, dass er sich das Pwd auch nur mit seiner E-Mail zuschicken lassen kann, damit er seinen Benutzernamen nicht mehr eingeben muss ...

Oder :?: :gruebel:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

alle diese stichpunkte sind kein soll sondern ist, und genau das bemängelt er wohl.

er will wohl, dass man sich das pw auch nur durch eingabe der email-adresse zuschicken lassen kann, die man ja nicht so leicht verliert.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Also, man sollte schon wissen, von welchem Account man ein Passwort haben will :gruebel:

Das liegt wohl am phpBB-Script: Es dient einfach der Sicherheit, dass das Passwort verschlüsselt in der DB gespeichert wird. Das dient zum Beispiel auch der Sicherheit des Users, dass der Admin nicht dein Passwort kennt, das du evtl. sogar öfter benutzt ;)

Find ich auch nervig und etwas... unnötig (anm. @alcaeus: Dieses Feature existiert bereits ;) )

Das dient dazu, dass es nicht zu viele Mehrfach-Accounts gibt. Es könnte ansonsten ja ein User 50 Accounts mit der selben Emailadresse haben. Das einzudämmen ist mehr als stressig ;)

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

:shock: Ich will dich jetzt nicht beleidigen und auch nicht provozieren, nur wer bitteschön vergiss seinen Benutzernamen ?? Ich weiß ja nicht, wie du das machst, aber ich heiße überall idontwantaname :wink:

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Auch in dieser Sparte gilt:

Bitte nicht OT werden :warn:

Es wurde eine Frage gestellt. Und entweder man beantwortet sie oder man schreibt nichts.

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

du bist lustig :lol:
woher soll den das dp script wissen, an wen es das neue (oder alte, völlig egal) passwort schicken soll, wenn du deinen usernamen nicht angibst? soll es vielleicht raten, eine bruteforcemail an alle möglichen adressen oder gar eine mail an alle user des boards mit deinem passwort schicken?

wenn jemand seinen usernamen vergisst, ist es auch nicht sehr warscheinlich, dass er noch die emailadresse kennt, mit der er sich angemeldet hat, also würde eine überprüfung darüber auch nicht mehr oder weniger bringen ;)

Re: Sicherheit bei der Anmeldung - Anregung zur DP
 

Aber den gleichen Effekt hat man doch auch, wenn man 50 e-Mail Adressen hat, dann kann man 50 Accounts haben. Und e-Mail Adressen kriegt man doch soviele, d.h. wenn jemand 50 Accounts haben möchte, dann kann er die jetzt noch haben. Also warum das ganze erschweren?

Es gibt ja irgendwo eine DB (Datenbank), die speichert deine e-mail Adresse, es sollte kein Problem sein das Passwort und Benutzername zu verschicken, wie es übrigens sehr viele Internetseiten praktizieren.

Naja, ich zum Beispiel kenne meine e-mail Adresse noch;

Außerdem wie glaubt ihr wird der Ableich der Passwörter beim Login bewerkstelligt? Erzählt mir doch nicht, dass man da nicht mehr dran kann und deswegen ein neues verschicken muss.

Re: Sicherheit bei der Anmeldung - Anregung zur DP