Benutzer einladen absichern



  • Beim Ausprobieren neue Benutzer anzulegen und einzuladen ist mir aufgefallen, das es da doch ein potentielles Sicherheitsproblem gibt. Es wird ja eine E-mail generiert mit einem Link zu einer Anmeldung mit Passworterstellung. Wenn jemand die Information abgreift, z.B. durch einen E-mail Bot im Internet, kann er sich anstelle des beabsichtigten Nutzers ein Passwort erstellen, sich an dessen Account anmelden und hat je nach Einstellungen Vollzugriff auf alle Datenbankinformationen.

    Mein Vorschlag:
    Abfrage von Adresse, oder Geburtstag oder ähnlichem bei der Passworterstellung. Das Abfragefeld ist damit natürlich ein Pflichtfeld für die Benutzererstellung.

    Grüße

    Marcel


  • admin

    @bigblue Bei der Adresse könnten unterschiedliche Schreibweisen (Str., Straße) ein Problem werden. Geburtsdatum mit vorgegebener Syntax oder die PLZ wären sicherlich ausreichend und gut.



  • Bei der Adresse hast Du wohl recht. Ich denke beide Optionen (B-Day und PLZ) sind ausreichend.



  • ich fände es super wenn man so ein Feature einbauen könnte. Als Übergangslösung kann man direkt nach dem einladen in die Logs gehen und dort den Link aufrufen und ein Passwort setzen.


Log in to reply