Mod Sicherheitsfrage gesucht

Allgemeiner Support zum phpBB 2 Board und phpBB 2 Modifikationen
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Antworten
sucofin
Beiträge: 28
Registriert: Mo 05.Sep, 2011 14:59

Mod Sicherheitsfrage gesucht

Beitrag von sucofin »

hallo, gibt es eigentlich einen mod, wo man, wenn man sein passwort vergessen hat, eine sicherheitsfrage beantworten muss? danke für die auskunft
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: Mod Sicherheitsfrage gesucht

Beitrag von oxpus »

Hallo,

du meinst, man beantwortet eine vorher definierte Frage mit einer bereits angegebenen Antwort und wird wieder freigeschaltet?
Da ist mir noch nicht wirklich etwas untergekommen.
Zumal der User dann ja auch erst einmal wieder ein Passwort bekommen muss, um es verwenden zu können, denn:
Das Forum verwaltet die Passwörter der Benutzer ausschließlich verschlüsselt, so dass weder ein Datenbankuser/-administrator noch das Forum diese Kennwörter auslesen können.
Ich würde auch dringend davon abraten, die User-Passwörter unverschlüsselt irgendwo auf dem Server zu verwalten, denn das stellt neben einem großen Sicherheitsrisiko auch eine Verletzung von gesetzlichen Datenschutzbestimmungen dar. Unbeachtet der Tatsache, dass sich die User dann auch nicht mehr sicher fühlen würden, wenn sie erführen, dass ihre Anmeldedaten nicht ausreichend geschützt sind.

Man könnte sich nun aber folgendes vorstellen:
Ein User hat sein Passwort vergessen und beantwortet "seine" Sicherheitsfrage.
Das Forum generiert darauf hin ein neues Passwort und zeigt es an (oder besser: schickt es per E-Mail dem User zu), mit dem sich der Benutzer dann erst einmal wieder am Forum anmelden kann.

Aber:
Warum den Aufwand, wenn man sich doch auch schon einfach ein neues Passwort zuschicken lassen kann?
Geht genau so schnell, nötigt den User nicht ab, eine Sicherheitsfrage vorzudefinieren und man kann dann auch nach einem Bestätigungslink aus der E-Mail, die der User bekommt, sofort wieder mit dem neuen Passwort am Forum anmelden.
Dabei werden darüber hinaus auch keine Sicherheitslücken gerissen, denn das bestehende Passwort bleibt verschlüsselt bestehen sowie auch das neue Passwort nur verschlüsselt in der Datenbank abgelegt wird. Ebenso ist der Aktivierungslink in der E-Mail relativ sicher, da auch hier ein Aktivierungscode mitgeschickt wird, der nicht so ohne weiteres von "bösen Jungs" "erraten" werden kann.

Kurzum:
Die Idee ist ja nicht schlecht, aber ich halte die für komplett überflüssig, da sie neben einem Mehraufwand in der Verwaltung (und zusätzlichem Platzbedarf in der Datenbank) keinen echten Mehrwert für den Benutzer bringt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
sucofin
Beiträge: 28
Registriert: Mo 05.Sep, 2011 14:59

Re: Mod Sicherheitsfrage gesucht

Beitrag von sucofin »

hallo und danke für die antwort. ich meinte eher, dass bevor er sich das passwort zusenden lassen kann, er eine sicherheitsfrage beantwortet, deren antwort nur er kennt. hintergrund ist der, dass nur er die antwort kennt und nicht xy, welcher durch kenntnis des usernamens und der mailadresse sich das passwort zusenden lassen kann. weil vertrauen ist gut, aber mir würde so etwas gefallen.

danke
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: Mod Sicherheitsfrage gesucht

Beitrag von oxpus »

Ähm, das Passwort wird doch nur an die vom User hinterlegte E-Mail-Adresse zugeschickt.
Wenn ein anderer User eine andere Adresse zu einem Usernamen eingibt, akzeptiert das Forum das doch schon gar nicht und zeigt eine Fehlermeldung an.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
sucofin
Beiträge: 28
Registriert: Mo 05.Sep, 2011 14:59

Re: Mod Sicherheitsfrage gesucht

Beitrag von sucofin »

schon klar, aber der user soll trotzdem bevor ihm dies alles zugeschickt wird eine sicherheitsfrage beantworten.... vielleicht hatte ich mich da mißverständlich ausgedrückt. lg
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Re: Mod Sicherheitsfrage gesucht

Beitrag von oxpus »

Nun ja, wenn du es dem User unnötig schwer machen willst...

Wie gesagt: Ich kenne eine solche MOD nicht, müsste ich also erst programmieren. Dann aber nicht kostenlos...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
sucofin
Beiträge: 28
Registriert: Mo 05.Sep, 2011 14:59

Re: Mod Sicherheitsfrage gesucht

Beitrag von sucofin »

aha, hätte ja immerhin sein können, da ich so etwas schon z.b. bei vattenfall u.a. gesehen habe. mein board ist zu klein, um finanziellen aufwand dafür zu betreiben. sorry.
Antworten