Re: Vergessene Passwörter

[Karl Eichwalder <ke _at__ gnu.franken.de>]

Sascha Carlin <sc _at__ itst.org> writes:

> In der Regel wird so etwas über einen Schlüssel gemacht.

Nach meinen Erfahrungen mit Bibliotheken ist das leider in der Regel
_nicht_ dr Fall ;)

> Das heisst, das nicht das Passwort, sondern ein zufälliger
> Zugangsschlüssel verschickt wird. Öffnet ein Anwender die
> entsprechende Webseite und gibt er dann den Schlüssel ein, kann er in
> einem Folgeformular ein neues Passwort setzen. Um das noch weiter
> abzusichern, könnte man die Passwort-Änderung über eine gesicherte
> HTTP-Verbindung (https://) laufen lassen.

Ja, so sollte das gemacht werden.  Vielleicht wird es manchem klarer,
wenn man den Begriff "Zugangsschlüssel" verwendet.

Ohne https:// wird eben das Passwort im Klartext übertragen, das war's,
was ich andeuten wollte und was wohl im Bibliotheksbereich verbreitete
Praxis ist.

-- 
ke _at__ suse.de (work) / keichwa _at__ gmx.net (home):              |
http://www.gnu.franken.de/ke/                            |      ,__o
Free Translation Project:                                |    _-\_<,
http://www.iro.umontreal.ca/contrib/po/HTML/             |   (*)/'(*)