Forum: Programmieren allgemein
by Matze,
7. Apr 2008
Jupp, das sind 2 E-Mails. Die 1. E-Mail enthält einen Link zur Anforderung des neuen Passworts. Dieser Link enthält als Parameter einen Hash, den ich zuvor in der Benutzertabelle beim jeweiligen Benutzer eingefügt habe. Anhand des Hashs kann ich den Benutzer somit identifizieren.
Wird der Link aufgerufen und ein Benutzer mit diesem Hash gefunden, bekommt dieser ein neu generiertes Passwort an...
Forum: Programmieren allgemein
by Matze,
5. Apr 2008
Ich erläutere noch kurz mein Verfahren:
1. "Passwort vergessen" anklicken
2. Name + E-Mail muss eingegeben werden
=> Benutzer erhält eine E-Mail, in der er über einen Link bestätigen muss, dass er es ist. Daraufhin erhält er eine 2. E-Mail mit dem neu generierten Passwort.
Leute, die Name + E-Mail eines Mitglieds wissen, können das Passwort somit nicht ändern.
Forum: Programmieren allgemein
by Matze,
5. Apr 2008
Dem schließe ich mich an. Oberste Priorität sollte die Sicherheit der Benutzerdaten haben. Ich mache es so:
$passwd = request_var('r_password', '', 'p');
$passwd2 = request_var('r_password2', '', 'p');
$salt_dyn = $session->generate_salt();
$passwd_hash = $session->generate_hash($passwd, $salt_dyn, STAT_SALT);
$passwd2_hash = $session->generate_hash($passwd2, $salt_dyn, STAT_SALT);