Passwortänderung erzwingen

[redbull254]

Hallo erstmal,

ich möchte meine Mitglieder „zwingen“ ein neues Passwort anzulegen.
Dazu habe ich im ACP =>Allgemein =>Server-Konfiguration =>Sicherheit:

Die Einstellung von [0] auf [180] gestellt.
(Überlegung ist dabei, das jetzt das neue Passwort fällig ist und dann immer wieder nach 180 Tagen)

Passwortänderung erzwingen:
Verlangt von den Benutzern, ihr Passwort nach einer festgelegten Anzahl an Tagen zu erneuern. Um dieses Verhalten abzuschalten, stelle als Wert 0 ein.

Darauf musste ich als Admin sofort mein Passwort ändern. Soweit so gut.
Dann habe ich mich mit meinem Testuser (registrierte Mitglieder) angemeldet und dachte das er jetzt auch ein neues Passwort eingeben muss.
Aber das war nichts. Kein neues Passwort nötig, alles wie gewohnt.

Es liegt nicht an einem beschädigten Forum phpBB 3.0.8 (prosilver-basierender Style), ich habe es in 3 Testforen gegen geprüft.

Entweder mache ich jetzt einen Denkfehler oder da ist ein Bock drin den ich nicht erkenne.

Nun die Fragen:
Wieso muss ich als Admin die Änderung machen aber der Testuser nicht?
Wie bekomme ich es hin das alle Mitglieder ein neues Passwort eingeben müssen?

Edit://
Das Thema habe ich auch gelesen aber das ist m.E. vollkommen unrealistisch.
viewtopic.php?f=74&t=206314

Also wenn alle Mitglieder sich am gleichen Tag anmelden würden um ihr Passwort zu ändern.
Und die es wirklich machen würden/könnten müssten immer wieder eine neues Passwort eingeben bis alle damit durch sind.
Nur wie soll man kontrollieren ob alle fertig sind? Meines Erachtens nicht praktikabel ohne die Mitglieder extrem zu verärgern.

[Tim]

Hey redbull,

ist denn der Testuser schon mehr als 180 Tage registriert?
Ansonsten kann es vielleicht sein, dass das Forum den Tag der Registrierung nimmt und 180 Tage drauf rechnet.

LG Tim

[redbull254]

Hallo Tim,

Testuser
Registriert: 4. Nov 2007, 14:08

daran kann es also nicht liegen.
Ich würde ja verstehen das man nach der Umstellung 180 Tage warten muss, kein Thema.
Aber warum muss ich dann als Admin das Passwort sofort ändern und „normale“ Mitglieder ( Testuser) nicht?

Das erscheint mir unlogisch.
Das Wichtigste für mich ist gerade, wie schaffe ich eine Zeitgleiche Passwortänderung?

[Tim]

Ich habe es gerade mal in einem meiner Testforen ausprobiert, habe das erst vor zwei Tagen installiert, ist also
auf dem neuesten Stand.
Ich habe die Zahl von 0 auf 1 gesetzt und musste als Admin sofort das Passwort ändern.
Der Testuser bekommt bei mir aber auch die Meldung, dass er das Passwort ändern muss.

[redbull254]

Edit://
Das Thema habe ich auch gelesen aber das ist m.E. vollkommen unrealistisch.
viewtopic.php?f=74&t=206314

Also wenn alle Mitglieder sich am gleichen Tag anmelden würden um ihr Passwort zu ändern.
Und die es wirklich machen würden/könnten müssten immer wieder eine neues Passwort eingeben bis alle damit durch sind.
Nur wie soll man kontrollieren ob alle fertig sind? Meines Erachtens nicht praktikabel ohne die Mitglieder extrem zu verärgern.

[Tim]

Ja, ich habe es auf 1 gesetzt, weil das Forum erst 2 Tage alt ist, ich wollte also nur sehen, ob der Testuser
die gleiche Nachricht bekommt, wie der Admin, ist bei mir auch der Fall.

[redbull254]

Es wird scheinbar von der letzten eigenen Passwortänderung gezählt.
Soweit bin ich schon einmal.


Edit:

Code: Alles auswählen

UPDATE phpbb3_users SET user_passchg = zeitstempel (Das Datum/Uhrzeit wann die Aktion passieren soll) WHERE user_passchg > 0

Bringt mich auch nicht weiter.

[Talk19zehn]

Hello, - ich schließe mich der generellen Grundsatzfrage gerne an. Denn ich sehe momentan keine Lösung, um eine generelle PW-Änderung für alle UserInnen --> auf einen Schlag <-- im Forum gleichermaßen herbei zu führen. Es muss doch möglich sein?!

Oder geht es gar nur, wenn ich jeden User einzeln administriere und die "Erneute Aktivierung erzwinge"? Das möchte und kann ich gar nicht glauben.


Beste Grüße

[modernist]

@ redbull254

Hast du schon das hier probiert: http://startrekguide.com/community/view ... 35&t=10052 ?

[redbull254]

@ redbull254

Hast du schon das hier probiert: http://startrekguide.com/community/view ... 35&t=10052 ?

Ich danke Dir, die Seite habe ich wohl übersehen, aber nicht ausreichend beachtet.

Ich werde das jetzt einmal testen und dann berichten.


Edit//

Hallo erstmal,

Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.

und wie könnte man dies realisieren?

Ungetestet:
Im ACP im Tab Registrierung erst einmal die Länge und die Komplexität vorgeben. Danach die "Passwortänderung erzwingen:"-Dauer auf zB 365 Tage stellen, somit sollten die User dazu gezwungen sein ihr PW zu ändern. Zu guter letzt im User-Table user_passchg so gering setzen das jeder beim nächsten Login sein PW ändern muss. Bevor du das Jahr dann wieder erreicht hast solltest du einen "Kehraus" der inaktiven Benutzer machen (zB nach 10 Monaten) und dann kannst du die PW-Änderungspflicht ja wieder zurücksetzten so das jeder User wirklich nur einmal gezwungen wurde es zu ändern.

LG Un1

Quelle:
viewtopic.php?f=19&t=201850&p=1219137#p1219137

So, nachdem ich nun einige neue Informationen bekommen habe kommt hier die Erklärung meines (leider erfolglosen) Tests.

Code: Alles auswählen

UPDATE phpbb_users SET user_passchg = 1295130600 WHERE user_type = 3;

Dieser SQL-Befehl sollte mir den Zeitpunkt der neuen Passwort-Eingabe für alle Mitglieder bestimmen.

Den Unix Timestamp (Zeitstempel) habe ich mir hier generieren lassen:
http://www.timestampgenerator.com/

Hier noch einmal zur Sicherheit gegen geprüft:
http://www.gaijin.at/olsutc.php

Ich habe den Zeitstempel 15 Minuten vor die tatsächliche Forumzeit gelegt.

Im ACP 365 Tage eingestellt.

SQL-Befehl ausgeführt. Gespannt darauf gewartet das nun mein Testuser und ich nun ein neues Passwort eingeben müssen.

Obwohl die Vorgehensweise für mich schlüssig ist blieb sie leider ohne den erhofften Erfolg.
Kein neue Eingabe eines Passworts notwendig.

Jemand eine Idee wo der (Denk)Fehler liegen könnte?