Mod Sicherheitsfrage gesucht

[sucofin]

hallo, gibt es eigentlich einen mod, wo man, wenn man sein passwort vergessen hat, eine sicherheitsfrage beantworten muss? danke für die auskunft

[oxpus]

Hallo,

du meinst, man beantwortet eine vorher definierte Frage mit einer bereits angegebenen Antwort und wird wieder freigeschaltet?
Da ist mir noch nicht wirklich etwas untergekommen.
Zumal der User dann ja auch erst einmal wieder ein Passwort bekommen muss, um es verwenden zu können, denn:
Das Forum verwaltet die Passwörter der Benutzer ausschließlich verschlüsselt, so dass weder ein Datenbankuser/-administrator noch das Forum diese Kennwörter auslesen können.
Ich würde auch dringend davon abraten, die User-Passwörter unverschlüsselt irgendwo auf dem Server zu verwalten, denn das stellt neben einem großen Sicherheitsrisiko auch eine Verletzung von gesetzlichen Datenschutzbestimmungen dar. Unbeachtet der Tatsache, dass sich die User dann auch nicht mehr sicher fühlen würden, wenn sie erführen, dass ihre Anmeldedaten nicht ausreichend geschützt sind.

Man könnte sich nun aber folgendes vorstellen:
Ein User hat sein Passwort vergessen und beantwortet "seine" Sicherheitsfrage.
Das Forum generiert darauf hin ein neues Passwort und zeigt es an (oder besser: schickt es per E-Mail dem User zu), mit dem sich der Benutzer dann erst einmal wieder am Forum anmelden kann.

Aber:
Warum den Aufwand, wenn man sich doch auch schon einfach ein neues Passwort zuschicken lassen kann?
Geht genau so schnell, nötigt den User nicht ab, eine Sicherheitsfrage vorzudefinieren und man kann dann auch nach einem Bestätigungslink aus der E-Mail, die der User bekommt, sofort wieder mit dem neuen Passwort am Forum anmelden.
Dabei werden darüber hinaus auch keine Sicherheitslücken gerissen, denn das bestehende Passwort bleibt verschlüsselt bestehen sowie auch das neue Passwort nur verschlüsselt in der Datenbank abgelegt wird. Ebenso ist der Aktivierungslink in der E-Mail relativ sicher, da auch hier ein Aktivierungscode mitgeschickt wird, der nicht so ohne weiteres von "bösen Jungs" "erraten" werden kann.

Kurzum:
Die Idee ist ja nicht schlecht, aber ich halte die für komplett überflüssig, da sie neben einem Mehraufwand in der Verwaltung (und zusätzlichem Platzbedarf in der Datenbank) keinen echten Mehrwert für den Benutzer bringt.

[sucofin]

hallo und danke für die antwort. ich meinte eher, dass bevor er sich das passwort zusenden lassen kann, er eine sicherheitsfrage beantwortet, deren antwort nur er kennt. hintergrund ist der, dass nur er die antwort kennt und nicht xy, welcher durch kenntnis des usernamens und der mailadresse sich das passwort zusenden lassen kann. weil vertrauen ist gut, aber mir würde so etwas gefallen.

danke

[oxpus]

Ähm, das Passwort wird doch nur an die vom User hinterlegte E-Mail-Adresse zugeschickt.
Wenn ein anderer User eine andere Adresse zu einem Usernamen eingibt, akzeptiert das Forum das doch schon gar nicht und zeigt eine Fehlermeldung an.

[sucofin]

schon klar, aber der user soll trotzdem bevor ihm dies alles zugeschickt wird eine sicherheitsfrage beantworten.... vielleicht hatte ich mich da mißverständlich ausgedrückt. lg

[oxpus]

Nun ja, wenn du es dem User unnötig schwer machen willst...

Wie gesagt: Ich kenne eine solche MOD nicht, müsste ich also erst programmieren. Dann aber nicht kostenlos...

[sucofin]

aha, hätte ja immerhin sein können, da ich so etwas schon z.b. bei vattenfall u.a. gesehen habe. mein board ist zu klein, um finanziellen aufwand dafür zu betreiben. sorry.