Bestätigungs email !

[|Coding]

doch, unteranderem mit [FUNC]base64encode()[/FUNC] / [FUNC]base64decode()[/FUNC].

aber es gibt da ein ungeschriebenes gesetz: verschüssele passwörter nicht mit twoway methoden, immer mit oneway methoden.

[xabbuh]

Zitat:

Zitat von |Coding

und den usern ne möglichkeit gibst das passwort freischnauze zuändern

Allerdings sollte man auch dann dem Benutzer das Passwort per Mail zukommen lassen.

Zitat:

Zitat von akasa

wenn ein User, aber aus spass von irgend einem anderen die emailadresse angiebt, wird dessen pw ja dann geändert, könnte man solch einen missbrauch verhindern ?

Wenn E-Mailadressen zum Beispiel nicht öffentlich angezeigt werden, könntest du die Abfrage nicht nur auf die E-Mailadresse beschränken, sondern auch noch auf den Benutzernamen prüfen.
Oder der Benutzer wählt bei der Registrierung eine Frage, zu der er eine Antwort eingeben muss und nur wenn diese Frage richtig beantwortet wird, bekommt er ein neues Passwort. Der Nachteil hierbei ist, dass hier durchaus Potential vorhanden ist, diese Frage bzw. die Antwort darauf zu vergessen und man somit nicht mehr an das Passwort kommt.

[akasa]

also das mit der nichtöffentlichen email ist eigentlich ne gute sache,wenn ich dann ein kontaktformular für jeden user mache,danmit wär das dann aus der welt! ok,also hab jezz 12 mögliche zufalls passworte die ich alle mal wild erstellt habe, 12 sollten reichen ? oder ist hierbei die methode das password time() zu benutzen auch günstig ?

[xabbuh]

Zitat:

Zitat von akasa

also das mit der nichtöffentlichen email ist eigentlich ne gute sache,wenn ich dann ein kontaktformular für jeden user mache,danmit wär das dann aus der welt! ok,also hab jezz 12 mögliche zufalls passworte die ich alle mal wild erstellt habe, 12 sollten reichen ? oder ist hierbei die methode das password time() zu benutzen auch günstig ?

Wenn sich ein Benutzer registriert wird aus den 12 Passwörtern eines zufällig ausgewählt?

[|Coding]

erstell lieber für jede mail ein neues passwort.

z.b. so: md5($user.time());

[akasa]

@ xabbuh ne beim register kann er selbst eins auswählen,wenn er sein pw vergisst und sichn neues zuschicken lässt eins der 12 !
@coding 32 stellen sind doch bissl übertrieben

[xabbuh]

Zitat:

Zitat von akasa

@ xabbuh ne beim register kann er selbst eins auswählen,wenn er sein pw vergisst und sichn neues zuschicken lässt eins der 12 !

Das ist aber schon sehr unsicher. Besser ist in diesem Fall |Codings Variante.

[akasa]

wenn man time() oben an einem php augeben lässt,dann ein ganzgroßes bild macht was lange ladezeit brauch und unten nomma time() ist der wert dann gleich ?

[xabbuh]

Zitat:

Zitat von akasa

wenn man time() oben an einem php augeben lässt,dann ein ganzgroßes bild macht was lange ladezeit brauch und unten nomma time() ist der wert dann gleich ?

Vermutlich nicht, da die ganze Abarbeitung des Scriptes länger als einer Sekunde dauern kann / wird. Besser ist es beim ersten Aufruf von [func]time()[/func] diesen Wert in einer Variable zu speichern.

[|Coding]

Zitat:

Zitat von akasa

@coding 32 stellen sind doch bissl übertrieben

1. ist es doch nur vorläufig (user kann doch c&p)
2. könntest du nur die hälfte des md5 hashes nutzen.
3. wandel den md5 hash in buchstaben um (dann sind es nur noch 16 zeichen)