AW: [php] erzeugung eines passwords und versand an den kunden

[Olaf Gleba]

moin,

Am 12.10.2004 15:39 Uhr schrieb "Sebastian Burg" unter <chef at sango.de>:
 > Zum beispiel machste ganze einfach nen passwort mit mt_rand z.b.
> $pass = mt_rand(10000,9999999); //macht nen passwort zufällig aus zahlen....
> Dann die mail:
> Mail("kunde at email.de","ihr passwort","hallo ihr passwort ist $pass");
> Das ganze noch in die datenbank schmeissen, das kommt dann drauf an welche
> datenbank verwendest, und fertig.

Wenn ich ein Passwort (Login pwd) generiere, dann aber unverschlüsselt über
den Äther schicke (womöglich noch mit der Kundennr./Nachname als Userlogin
in der Mail), kann man es doch auch irgendwie gleich sein lassen, oder?

Die '50% Sicherheit' (match von Benutzername <-> pwd string), gehe ich davon
aus, das zumindest nur das pwd per mail geschickt wird, wären mir eigentlich
zu wenig. Zumal (wenn das Kundenlogin aus dem z.B Nachnamen besteht) es
sicher keine allzu große Hürde wäre, das heraus zu fischen. Irgendeinen
'Müller' gibt es in jeder größeren Datenbank... ;)

Oder was verstehe ich dich da falsch ?

Da ich diese Methode (so wie ich es verstanden habe) von Beginn an ziemlich
sinnfrei fand, habe ich, müssen Kundenemails verschickt werden, diese
kundenrelevanten Daten immer in ein .pdf geschrieben und dieses
mitgeschickt, so dass ich wenigstens von dem ascii Zeugs wegkomme.
Ob das der Weisheit letzter Schluß ist, sei mal dahin gestellt ;)

Eine Klarübertragung irgendeines pwd salt`s fand ich immer dann in Ordnung,
wenn ich sowas wie ein DoubleOptIn machen wollte - als Verifizierungsstring
an eine URL angehängt, die der Empfänger anklicken muss. Da geht es ja nicht
so sehr um die größtmögliche Sicherheit des Passwortes, sondern nur um einen
konkreten Abgleich mit den DB Einträgen.

Aber,- klärt mich auf...

gruss
Olaf
 

-- 
creatics media.systems : Grünstr. 25 : D-42697 Solingen
tel. +49 212 38 32 94 30 : fax. +49 212 38 32 94 31
mailto:og at creatics.de : http://www.creatics.de