Versand von Paßwörtern im Klartext DEAKTIVIEREN! Wie?
Verfasst: 16.11.2008 11:59
Hallo,
ich hab mir das Board neulich installiert. Jetzt muß ich feststellen, daß das Paßwort zusammen mit den Registrierungsdaten per eMail versendet werden.
Wie kann ich das verhindern?
Ein Passwort darf aus Sicherheitsgründen zum einen nur gehashed (nicht encrypted!) in der DB stehen und zum andern niemalsnicht mehr das System verlassen. Wenn einer mal sein PW vergißt, muß entweder ein ErsatzPW gesetzt werden oder ein Link zum PW-Ändern verschickt werden. In keinem Falle darf es möglich sein es aus der DB auszulesen. (Falls sonst doch mal wer unerlaubten Zugriff auf die DB bekommt, ist Polen offen und er hat alle PWs aller User!)
Kann ich das in phpBB so einstellen? Wenn ja, wie?
Lg,
Enkidu
ich hab mir das Board neulich installiert. Jetzt muß ich feststellen, daß das Paßwort zusammen mit den Registrierungsdaten per eMail versendet werden.
Wie kann ich das verhindern?
Ein Passwort darf aus Sicherheitsgründen zum einen nur gehashed (nicht encrypted!) in der DB stehen und zum andern niemalsnicht mehr das System verlassen. Wenn einer mal sein PW vergißt, muß entweder ein ErsatzPW gesetzt werden oder ein Link zum PW-Ändern verschickt werden. In keinem Falle darf es möglich sein es aus der DB auszulesen. (Falls sonst doch mal wer unerlaubten Zugriff auf die DB bekommt, ist Polen offen und er hat alle PWs aller User!)
Kann ich das in phpBB so einstellen? Wenn ja, wie?
Lg,
Enkidu