AW: AW: [php] erzeugung eines passwords und versand an den kunden

[Sebastian Burg]

> -----Ursprüngliche Nachricht-----
> Von: php-bounces at phpbar.de [mailto:php-bounces at phpbar.de] Im Auftrag von
> Olaf Gleba
> Gesendet: Dienstag, 12. Oktober 2004 18:28
> An: deutschsprachige PHP-Mailingliste <php at phpbar.de>
> Betreff: Re: AW: [php] erzeugung eines passwords und versand an den kunden
> 
> moin,
> 
> Am 12.10.2004 15:39 Uhr schrieb "Sebastian Burg" unter <chef at sango.de>:
>  > Zum beispiel machste ganze einfach nen passwort mit mt_rand z.b.
> > $pass = mt_rand(10000,9999999); //macht nen passwort zufällig aus
> zahlen....
> > Dann die mail:
> > Mail("kunde at email.de","ihr passwort","hallo ihr passwort ist $pass");
> > Das ganze noch in die datenbank schmeissen, das kommt dann drauf an
> welche
> > datenbank verwendest, und fertig.
> 
> Wenn ich ein Passwort (Login pwd) generiere, dann aber unverschlüsselt
> über
> den Äther schicke (womöglich noch mit der Kundennr./Nachname als Userlogin
> in der Mail), kann man es doch auch irgendwie gleich sein lassen, oder?
> 

Soll man das passwort crypten o.ä.? erklär dann mal nem enduser wie er sein
passwort rausbekommt.

Das ist ja nicht mein problem, in meinem beispiel wird nur das passwort
übertragen.

> Die '50% Sicherheit' (match von Benutzername <-> pwd string), gehe ich
> davon
> aus, das zumindest nur das pwd per mail geschickt wird, wären mir
> eigentlich
> zu wenig. Zumal (wenn das Kundenlogin aus dem z.B Nachnamen besteht) es
> sicher keine allzu große Hürde wäre, das heraus zu fischen. Irgendeinen
> 'Müller' gibt es in jeder größeren Datenbank... ;)
> 
> Oder was verstehe ich dich da falsch ?
> 
> Da ich diese Methode (so wie ich es verstanden habe) von Beginn an
> ziemlich
> sinnfrei fand, habe ich, müssen Kundenemails verschickt werden, diese
> kundenrelevanten Daten immer in ein .pdf geschrieben und dieses
> mitgeschickt, so dass ich wenigstens von dem ascii Zeugs wegkomme.
> Ob das der Weisheit letzter Schluß ist, sei mal dahin gestellt ;)
> 

Was heisst hier sinnfrei? Es ist nen funktionabler weg. Ein pdf kann ebenso
geklaut werden wie alle anderen emails. Das einzige was vielleicht praktisch
ist ist pgp o.ä. aber dann viel spass beim erstellen, oder am besten
persönlich das passwort übergeben.


> Eine Klarübertragung irgendeines pwd salt`s fand ich immer dann in
> Ordnung,
> wenn ich sowas wie ein DoubleOptIn machen wollte - als
> Verifizierungsstring
> an eine URL angehängt, die der Empfänger anklicken muss. Da geht es ja
> nicht
> so sehr um die größtmögliche Sicherheit des Passwortes, sondern nur um
> einen
> konkreten Abgleich mit den DB Einträgen.
> 
> Aber,- klärt mich auf...

Bei uns läufts im normalfall so ab das in der datenbank ein wert hinterlegt
wird welcher den benutzer beim ersten login auffordert sein passwort zu
ändern.

Mehr Sicherheit ist schwer machbar. Wenn man noch ein bischen userfreundlich
bleiben will.

 
> gruss
> Olaf
> 

Gruss sebastian.