Re: AW: AW: [php] erzeugung eines passwords und versand an den kunden

[info at dortmund-katalog.de]

Betreff: Re: AW: [php] erzeugung eines passwords und versand an den
kunden
> > 
> > moin,
> > 
> > Am 12.10.2004 15:39 Uhr schrieb "Sebastian Burg" unter :
> >  > Zum beispiel machste ganze einfach nen passwort mit mt_rand z.b.
> > > $pass = mt_rand(10000,9999999); //macht nen passwort zufällig aus
> > zahlen....
> > > Dann die mail:
> > > Mail("kunde at email.de","ihr passwort","hallo ihr passwort ist $pass");
> > > Das ganze noch in die datenbank schmeissen, das kommt dann drauf an
> > welche
> > > datenbank verwendest, und fertig.
> > 
> > Wenn ich ein Passwort (Login pwd) generiere, dann aber unverschlüsselt
> > über
> > den Äther schicke (womöglich noch mit der Kundennr./Nachname als Userlogin
> > in der Mail), kann man es doch auch irgendwie gleich sein lassen, oder?
> > 
> 
> Soll man das passwort crypten o.ä.? erklär dann mal nem enduser wie er sein
> passwort rausbekommt.
> 
> Das ist ja nicht mein problem, in meinem beispiel wird nur das passwort
> übertragen.
> 
> > Die '50% Sicherheit' (match von Benutzername  pwd string), gehe ich
> > davon
> > aus, das zumindest nur das pwd per mail geschickt wird, wären mir
> > eigentlich
> > zu wenig. Zumal (wenn das Kundenlogin aus dem z.B Nachnamen besteht) es
> > sicher keine allzu große Hürde wäre, das heraus zu fischen. Irgendeinen
> > 'Müller' gibt es in jeder größeren Datenbank... ;)
> > 
> > Oder was verstehe ich dich da falsch ?
> > 
> > Da ich diese Methode (so wie ich es verstanden habe) von Beginn an
> > ziemlich
> > sinnfrei fand, habe ich, müssen Kundenemails verschickt werden, diese
> > kundenrelevanten Daten immer in ein .pdf geschrieben und dieses
> > mitgeschickt, so dass ich wenigstens von dem ascii Zeugs wegkomme.
> > Ob das der Weisheit letzter Schluß ist, sei mal dahin gestellt ;)
> > 
> 
> Was heisst hier sinnfrei? Es ist nen funktionabler weg. Ein pdf kann ebenso
> geklaut werden wie alle anderen emails. Das einzige was vielleicht praktisch
> ist ist pgp o.ä. aber dann viel spass beim erstellen, oder am besten
> persönlich das passwort übergeben.
> 
> 
> > Eine Klarübertragung irgendeines pwd salt`s fand ich immer dann in
> > Ordnung,
> > wenn ich sowas wie ein DoubleOptIn machen wollte - als
> > Verifizierungsstring
> > an eine URL angehängt, die der Empfänger anklicken muss. Da geht es ja
> > nicht
> > so sehr um die größtmögliche Sicherheit des Passwortes, sondern nur um
> > einen
> > konkreten Abgleich mit den DB Einträgen.
> > 
> > Aber,- klärt mich auf...
> 
> Bei uns läufts im normalfall so ab das in der datenbank ein wert hinterlegt
> wird welcher den benutzer beim ersten login auffordert sein passwort zu
> ändern.
> 
> Mehr Sicherheit ist schwer machbar. Wenn man noch ein bischen userfreundlich
> bleiben will.
> 
>  
> > gruss
> > Olaf
> > 
> 
> Gruss sebastian.

Betreff: Re: AW: [php] erzeugung eines passwords und versand an den
kunden


Erst mal danke an alle Tips die mir hier gepostet worden sind.
Also jetzt mal ein Tip von mir, macht euch keine Gedanken über
Sicherheit, wenn ich gemeint hätte das ich Ford Nox bauen wollte hätte
ich das geschrieben.
Mir ist mit den angebotenen Lösungen schon geholfen, da es sich nur um
eine Sendungsverfolgung handelt.
Ich wollt nur vermeiden das Kunde "x" zwingend nachschaut wann Kunde "y"
seine Ware bekommt.

Vielen Dank an die Liste

jens Uwe Roschkowski

> 
> --
> ** Allgemeine deutschsprachige PHP-Liste: php at phpbar.de **
> Informationen: http://www.phpbar.de
> http://lists.phpbar.de/mailman/listinfo/php