[TYPO3-german] Newloginbox Passwort vergessen: Sicherheit?

[Axel Napolitano]

Hallo Liste,

Am 03.02.2007 um 19:58 schrieb Elmar Hinz:

>
> b) Niemand kann einen Vorteil dadurch erzielen, daß er das Passwort
> von jemandem anderen überschreibt, weil er dadurch selbst keine neuen
> Rechte bekommt.
>

Es gibt abstraktes Gefährdungspotenzial bei dieser Lösung.

a) Der User hatte bei seiner Registrierung das Mailkonto bei einem  
Freemailer.
	
	Gefährdungspotenzial:
	- Zwischenzeitliche Abmeldung beim Freemailer und Übernahme durch  
einen Dritten
	- Das Konto beim Freemailer wurde gekapert

b) Es handelt sich um eine geschäftliche E-Mail-Adresse

	- Die Urlausbvertretung oder Sekräterin könnte so Zugriff erlangen
	- Ein missgünstiger Kollege oder Vorgesetzter mit Zugriff auf  
Postfächer könnte Zugriff erhalten (siehe z.B. die Vorgänge bei der  
CDU Brandenburg)

c) Man in the Middle-Attacken.
	
	- Die betreffenden E-Mails werden im Klartext versendet.


Meiner Meinung nach wäre es sicherer, kein Passwort zu versenden,  
sondern lediglich einen "Reset"-Link. Bei Aufruf des Links wird der  
User auf eine Seite geleitet, die eine persönliche Frage stellt, die  
der Benutzer bei Einrichtung seines Kontos nebst Antwort angegeben  
hat. Danach muss er unverzüglich ein neues Passwort angeben. Ein  
solcher Link sollte dann natürlich auch ein Verfallsdatum haben.


Axel Napolitano
http://www.pro-rauchfrei.de


PS: Die standardmäßige Klartextspeicherung von FE-User-Passwörtern  
möchte ich nur in soweit kommentieren, dass ich mich freuen würde,  
wenn (vorhandene) Lösungen zur Verschlüsselung künftig standardmäßig  
in Typo3 enthalten wären. Das erspart einem das teilweise lästige  
Gefrickel mit Erweiterungen