Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

Dennis · 15-08-2007, 08:12

ich möcht für eine community-site gern ein script bauen, wo ein user, der sein passwort vergessen hat, dieses anfordern kann. anhand eines mail-adressen-vergleichs kann man das ja machen. nur habe ich die passwörter md5-codiert in der datenbank stehen.
wie funktioniert das grundsätzlich mit dieses automatischen passwort-anforderungen?

Medialist · 15-08-2007, 08:38

bei md5 kodierten pw kannst du nur mittels generator - script ein neues pw vergeben dieses sowohl in der db speichern als auch per email an den user verschicken.

du kannst sie natürlich auch nochmal uncodiert speichern aber die codierung hat ja gerade denn sinn das keiner ans pw kommen soll der evtl über eine injection zugriff auf deine datenbank nehmen könnte, somit wäre es sehr unsicher

mfg

Dennis · 15-08-2007, 08:46

stimmt. gut idee.

.vielen dank
.dennis

Dennis · 15-08-2007, 09:02

hm. allerdings fällt mir grad auf, dass es da durchaus missbrauchspotenzial gäbe. besonders witzige leute könnten für andere das passwort anfordern und sich so nen tollen spass machen.

hab grad mal bei ebay geschaut. die wollen 2 von 3 sicherheitsfragen beantwortet haben. das ist ja aber auch nicht grad sehr originell ...

Nightflyer · 15-08-2007, 09:17

Eine Sicherheitsfrage reicht völlig

Medialist · 15-08-2007, 09:24

also sicher könnten das besonders witzige leute machen...

aber dafür bräuchten sie erstmal die email adresse und den usernamen,

baue noch ein captcha ein damit kein brute force möglich ist

trotzdem ginge dann das neu passwort immer noch an die originakle in der datenbank gespeicherte email adresse, die dem original besitzer des kontos gehört.

du kannst auch noch eine "geheime antwort" einbauen, name der mutter, des deutschlehrers, der lieblings CD des haustieres...

mfg

.felix. · 15-08-2007, 12:11

Einfach in der eMail einen Link mitsenden, der angeklickt werden muss, um das neue Passwort zu aktivieren.
Wenn der User das Passwort selbst nicht angefordert hat, kann er die Mail ignorieren und löschen und sein altes Passwort bleibt aktiv.

Dennis · 15-08-2007, 12:42

letzteres klingt auch gut. ne neue spalte "vorläufiges passwort" anlegen halte ich für eine clevere idee.

.dannke
.dennis

Funkey · 15-08-2007, 13:55

ich würds noch anders machen.

Ich weiß gerade nicht die seite, wo ich das gehsehen habe aber das läuft wie folgt ab:

- User fordert neues Passwort an
- User bekommt Mail mit bestätigungs Link (Sicherheitslink mit Schlüssel).
- User kann innerhalb von 24 Stunden auf den Link klicken und sein Passwort direkt in der Seite ändern.

Ich finde das Verfahren angenehmer, da man kein Zufalls Passwort bekommt.

Gruß Nils F.

15-08-2007, 08:12	#1 (permalink)
Dennis Taufrisch Registriert seit: Jun 2001 Ort: Berlin Beiträge: 2.042	"passwort vergessen"-script ich möcht für eine community-site gern ein script bauen, wo ein user, der sein passwort vergessen hat, dieses anfordern kann. anhand eines mail-adressen-vergleichs kann man das ja machen. nur habe ich die passwörter md5-codiert in der datenbank stehen. wie funktioniert das grundsätzlich mit dieses automatischen passwort-anforderungen? __________________ AKTUELLE PROJEKTE: baulmann.de - derleuschner.de - rentamt-luetetsburg.de - genderquiz-verdi.derleuschner.de - altvarenholzer.de SONSTIGE PROJEKTE: sternbuschweg.de - schlosspark-luetetsburg.de - virginia-jetzt.de - altschueler.de

15-08-2007, 08:46	#3 (permalink)
Dennis Taufrisch Registriert seit: Jun 2001 Ort: Berlin Beiträge: 2.042	stimmt. gut idee. .vielen dank .dennis __________________ AKTUELLE PROJEKTE: baulmann.de - derleuschner.de - rentamt-luetetsburg.de - genderquiz-verdi.derleuschner.de - altvarenholzer.de SONSTIGE PROJEKTE: sternbuschweg.de - schlosspark-luetetsburg.de - virginia-jetzt.de - altschueler.de

15-08-2007, 09:02	#4 (permalink)
Dennis Taufrisch Registriert seit: Jun 2001 Ort: Berlin Beiträge: 2.042	hm. allerdings fällt mir grad auf, dass es da durchaus missbrauchspotenzial gäbe. besonders witzige leute könnten für andere das passwort anfordern und sich so nen tollen spass machen. hab grad mal bei ebay geschaut. die wollen 2 von 3 sicherheitsfragen beantwortet haben. das ist ja aber auch nicht grad sehr originell ... __________________ AKTUELLE PROJEKTE: baulmann.de - derleuschner.de - rentamt-luetetsburg.de - genderquiz-verdi.derleuschner.de - altvarenholzer.de SONSTIGE PROJEKTE: sternbuschweg.de - schlosspark-luetetsburg.de - virginia-jetzt.de - altschueler.de

15-08-2007, 09:17	#5 (permalink)
Nightflyer Inventar Registriert seit: Jul 2002 Beiträge: 6.882	Eine Sicherheitsfrage reicht völlig __________________ (\__/) (='.'=) (")_(")

15-08-2007, 12:11	#7 (permalink)
.felix. jetzt auch in digital! Registriert seit: Jul 2001 Beiträge: 1.047	Einfach in der eMail einen Link mitsenden, der angeklickt werden muss, um das neue Passwort zu aktivieren. Wenn der User das Passwort selbst nicht angefordert hat, kann er die Mail ignorieren und löschen und sein altes Passwort bleibt aktiv. __________________ felix

15-08-2007, 08:38	#2 (permalink)
Medialist Banned Registriert seit: Aug 2007 Beiträge: 73	bei md5 kodierten pw kannst du nur mittels generator - script ein neues pw vergeben dieses sowohl in der db speichern als auch per email an den user verschicken. du kannst sie natürlich auch nochmal uncodiert speichern aber die codierung hat ja gerade denn sinn das keiner ans pw kommen soll der evtl über eine injection zugriff auf deine datenbank nehmen könnte, somit wäre es sehr unsicher mfg

15-08-2007, 09:24	#6 (permalink)
Medialist Banned Registriert seit: Aug 2007 Beiträge: 73	also sicher könnten das besonders witzige leute machen... aber dafür bräuchten sie erstmal die email adresse und den usernamen, baue noch ein captcha ein damit kein brute force möglich ist trotzdem ginge dann das neu passwort immer noch an die originakle in der datenbank gespeicherte email adresse, die dem original besitzer des kontos gehört. du kannst auch noch eine "geheime antwort" einbauen, name der mutter, des deutschlehrers, der lieblings CD des haustieres... mfg

15-08-2007, 12:42	#8 (permalink)
Dennis Taufrisch Registriert seit: Jun 2001 Ort: Berlin Beiträge: 2.042	letzteres klingt auch gut. ne neue spalte "vorläufiges passwort" anlegen halte ich für eine clevere idee. .dannke .dennis __________________ AKTUELLE PROJEKTE: baulmann.de - derleuschner.de - rentamt-luetetsburg.de - genderquiz-verdi.derleuschner.de - altvarenholzer.de SONSTIGE PROJEKTE: sternbuschweg.de - schlosspark-luetetsburg.de - virginia-jetzt.de - altschueler.de

15-08-2007, 13:55	#9 (permalink)
Funkey exestiert hier nicht Registriert seit: Jun 2002 Ort: Osnabrück Beiträge: 1.728	ich würds noch anders machen. Ich weiß gerade nicht die seite, wo ich das gehsehen habe aber das läuft wie folgt ab: - User fordert neues Passwort an - User bekommt Mail mit bestätigungs Link (Sicherheitslink mit Schlüssel). - User kann innerhalb von 24 Stunden auf den Link klicken und sein Passwort direkt in der Seite ändern. Ich finde das Verfahren angenehmer, da man kein Zufalls Passwort bekommt. Gruß Nils F. __________________ <? if(!$success){ $try++; } ?> ~Es ist so grausam, dass der Intelligenz Grenzen gesetzt sind und der Dummheit keine.~ Werbung: - Ajax File Manager ( KFM - Kae's File Manager )

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln