[TYPO3-german] Passwort vergessen + kb_md5fepw -> Email-Bestätigung?

[Gebhardt Thomas]

Hallo,

wenn man die Extension kb_md5fepw (z.B. in der üblichen Kombination
mit newloginbox und sr_feuser_register) einsetzt, werden die Passwörter
für die FE User nicht im Klartext abgespeichert. Dem entsprechend wird
ein neues Passwort gesetzt und verschickt, wenn der Benutzer den
"Passwort vergessen"-Mechanismus anwirft.

Das bietet nun jedoch die Möglichkeit zum Missbrauch: Wenn jemand
die Email-Adresse eines anderen Benutzers kennt, dann kann er dessen
Passwort umsetzen. Der eigentliche Besitzer des Kontos bekommt das
neue Passwort zwar mitgeteilt, es kann aber trotzdem lästig werden.

Gibt es denn eine erprobte Lösung, um dieses Problem zu umgehen? (Ich
bin vermutlich nicht der erste, den diesen Problem betrifft.) Bei der 
Erzeugung des Benutzer-Kontos geht z.B. eine Bestätigungs-Email
hin und zurück. In Analogie dazu könnte man z.B. die Passwort-Änderung
erst dann wirksam werden lassen, wenn der FE User auf eine Bestätigungs-
Email reagiert. Ein solcher Mechanismus ist aber - soweit ich das überblicke -
nicht implementiert.

Bei der Gelegenheit ist mir aufgefallen, dass das 
Passwort-vergessen-Web-Formular bei der Email-Adresse Groß- und 
Kleinschreibung unterscheidet, das Anmelde-Formular aber nicht. Mir ist nicht 
klar, weshalb das so gemacht ist. Man könnte diesen Umstand allerdings
dazu nutzen, sich mit einer kryptischen Email-Adresse wie etwa
maX.mUSteRMaNn at eXAMplE.cOM anzumelden, die ein anderer nicht
erraten würde. Wenn man dann aber das wirklich mal das Passwort
vergessen hat, dann wird man sich auch nicht mehr an diese Form der
Email-Adresse erinnern können. Also auch keine rechte Lösung des Problems.

Liebe Grüße, Thomas