Passwort-Reset Feedback zum super Forum ;)

Question

▾ Forenübersicht
Hausbau-, Sanierung Bauplan & Grundriss Fenster & Türen Elektrotechnik & Smarthome Heizung, Lüftung, Klima Bad & Sanitärtechnik Innenausbau & Einrichtung Küche & Küchengeräte Fertighaus Baurecht Photovoltaik / PV E-Auto Baufinanzierung Pflanzen- & Garten Forum für Sonstiges Offtopic Ich suche...Ich biete...

Passwort-Reset Feedback zum super Forum ;)

Vorab, das Forum ist super und ich lese gerne mit, die eigene Aktivität ist leider zeitlich begrenzt.
Folgendes Feedback würde ich jedoch gerne da lassen:
Beim Password-Reset versendet man heutzutage eigentlich keine Kennwörter im Klartext mehr per Mail, das kann an dutzenden Stellen abgefangen werden.
Zeitgemäß wäre daher ein Reset-Link an die gespeicherte Mailadresse, dort kann man dann den Link anklicken und auf der Website direkt das neue Kennwort eintragen.
Noch besser wäre natürlich noch eine Integration von 2FA, zB Google oder MS Authenticator.

Weiter so!

LG

Dieser Thread wurde geschlossen, es sind keine weiteren Antworten möglich.

Nächstes Thema: [Gelöst] fehlermeldung

score 1 · Answer 1 · 2018-11-27T20:57:00Z

Ja, kann man mal überlegen. Das Risiko ist aber nicht sehr groß. Das Passwort wird versendet und dann trägt der User ein neues ein. In dieser kurzen Zeit müsste jemand Zugang zum Emailaccount des Users haben und schneller sein als der betreffende User. Selbst wenn das gelingt würde der User beim Einloggen scheitern und wieder eine Passwortrücksetzung auslösen. Übers Internet übertragen wird ja ohnehin immer mit SSL, sodass auch ein Abhören des Netzwerks kein Passwort liefern würde.

Intern gespeichert wird jedenfalls mit verlängerter Passwortphrase und salted Hash, sodass auch mit vielen gemailten Passwörtern kein Rückschluss auf die Verschlüsselung möglich ist.

Die vorgeschlagene Zweifaktorauthentifizierung scheint uns etwas übertrieben für ein einfaches Hausbauforum. Es ist hier aus unserer Sicht eher umständlich für die User wenn sie immer noch zusätzlich das Handy brauchen und dort eine App installieren müssen.

Ist also eher ein pragmatischer Ansatz der derzeit implementiert ist.

score 1 · Answer 2 · 2018-11-28T13:00:00Z

Hmm... verstehe ich nicht ganz... vlt. steh ich auf der Leitung:
Ich hab gestern, ohne mich vorher einzuloggen, mein Kennwort geändert und bekam das neue per Mail zugesandt.

Nach Login kam aber kein Hinweis, dass ich es wieder ändern sollte (oder gar muss) und ich wurde also auch nicht umgeleitet sondern habe aktiv die Einstellungen geöffnet und dort das Kennwort geändert. Könnte also mit dem Temp-Kennwort unbegrenzt lange weitermachen.

Der Zeitraum ist also nur dann kurz, wenn der User hier aktiv selbst wieder das Kennwort ändert. Weshalb der User beim Einloggen scheitert, wenn er das Kennwort kennt, verstehe ich jetzt nicht.
Der Rest der Antwort ist natürlich plausibel.

//edit: Bzgl. Password im Mail sniffen: SSL (in der Antwort erwähnt) hilft beim Surfen im Browser. Beim Mailversand müsstet ihr wohl TLS o.ä. für alle Empfängerdomains enforcen, ich glaub ja nicht, dass das machbar ist.
Die kurzfristige Lösung wäre wohl also einfach beim 1. Login mit von euch erstellten Kennwort wird der User zur Änderung aufgefordert.

MFA hätte ich als "nice to have" gesehen, also User die das wollen können dann MFA verwenden (mit Tap to Login ist der Mehraufwand überschaubar), aufzwingen würde ich es sowieso nicht.

Am Ende nochmal der Hinweis:
Keine Kritik, nur ein Feedback.

Danke für eure Mühen!