» Diskussionsforum » Forum zum Forum

Passwort-Reset Feedback zum super Forum ;)

2 Beiträge | 27.11. - 28.11.2018
Vorab, das Forum ist super und ich lese gerne mit, die eigene Aktivität ist leider zeitlich begrenzt.
Folgendes Feedback würde ich jedoch gerne da lassen:
Beim Password-Reset versendet man heutzutage eigentlich keine Kennwörter im Klartext mehr per Mail, das kann an dutzenden Stellen abgefangen werden.
Zeitgemäß wäre daher ein Reset-Link an die gespeicherte Mailadresse, dort kann man dann den Link anklicken und auf der Website direkt das neue Kennwort eintragen.
Noch besser wäre natürlich noch eine Integration von 2FA, zB Google oder MS Authenticator.

Weiter so!



LG

 
27.11.2018 20:57
Ja, kann man mal überlegen. Das Risiko ist aber nicht sehr groß. Das Passwort wird versendet und dann trägt der User ein neues ein. In dieser kurzen Zeit müsste jemand Zugang zum Emailaccount des Users haben und schneller sein als der betreffende User. Selbst wenn das gelingt würde der User beim Einloggen scheitern und wieder eine Passwortrücksetzung auslösen. Übers Internet übertragen wird ja ohnehin immer mit SSL, sodass auch ein Abhören des Netzwerks kein Passwort liefern würde. 

Intern gespeichert wird jedenfalls  mit verlängerter Passwortphrase und salted Hash, sodass auch mit vielen gemailten Passwörtern kein Rückschluss auf die Verschlüsselung möglich ist. 

Die vorgeschlagene Zweifaktorauthentifizierung scheint uns etwas übertrieben für ein einfaches Hausbauforum. Es ist hier aus unserer Sicht eher umständlich für die User wenn sie immer noch zusätzlich das Handy brauchen und dort eine App installieren müssen. 

Ist also eher ein pragmatischer Ansatz der derzeit implementiert ist.
28.11.2018 13:00
Hmm... verstehe ich nicht ganz... vlt. steh ich auf der Leitung:
Ich hab gestern, ohne mich vorher einzuloggen, mein Kennwort geändert und bekam das neue per Mail zugesandt.

Nach Login kam aber kein Hinweis, dass ich es wieder ändern sollte (oder gar muss) und ich wurde also auch nicht umgeleitet sondern habe aktiv die Einstellungen geöffnet und dort das Kennwort geändert. Könnte also mit dem Temp-Kennwort unbegrenzt lange weitermachen.

Der Zeitraum ist also nur dann kurz, wenn der User hier aktiv selbst wieder das Kennwort ändert. Weshalb der User beim Einloggen scheitert, wenn er das Kennwort kennt, verstehe ich jetzt nicht.
Der Rest der Antwort ist natürlich plausibel.

//edit: Bzgl. Password im Mail sniffen: SSL (in der Antwort erwähnt) hilft beim Surfen im Browser. Beim Mailversand müsstet ihr wohl TLS o.ä. für alle Empfängerdomains enforcen, ich glaub ja nicht, dass das machbar ist.
Die kurzfristige Lösung wäre wohl also einfach beim 1. Login mit von euch erstellten Kennwort wird der User zur Änderung aufgefordert.

MFA hätte ich als "nice to have" gesehen, also User die das wollen können dann MFA verwenden (mit Tap to Login ist der Mehraufwand überschaubar), aufzwingen würde ich es sowieso nicht.

Am Ende nochmal der Hinweis:
Keine Kritik, nur ein Feedback.

Danke für eure Mühen!


Beitrag hinzufügen oder Werbung ausblenden?
Einloggen

 Kostenlos registrieren [Mehr Infos]

« Forum zum Forum