Mitglieder Login ohne Passwort

[jgrotstabel]

Hallo zusammen,

ich habe eine evtl. ein wenig merkwürdige Frage :-)
Ist es möglich das sich die Frontend-Mitglieder auch ohne Passwort anmelden können? Also das z.B. einfach nur der Benutzername eingegeben werden muss und dann kommt automatisch ein Login?

Folgendes möchte ich gerne damit abbilden.
Es gibt bereits eine Mitglieder Datenbank und jedes Mitglied bekommt eine Code (dies wird dann der Mitgliedername) der quasi für ein Gewinnspiel ist. Er soll einfach diesen Code eingeben und damit dann eingeloggt sein. Adresse, name, E-Mail etc. sind vorher schon im System eingepflegt...

Die einzige Idee die ich jetzt hätte wäre, für jeden das gleiche Passwort zu hinterlegen und dies wäre einfach versteckt (geht das überhaupt mit dem Passwort fällt das es vorausgefüllt und versteckt ist?). Oder gibt es da noch eine andere Möglichkeit, z.B. dem Login zu sagen das kein Passwort sondern nur der Benutzername benötigt wird?

Danke und Grüße
Jens

[fiedsch]

Eine andere Möglichkeit gibt es m.W. nicht. Nicht zuletzt deshalb, weil das bei einem Standard Login Szenario keinen Sinn ergibt.

[psren]

Die einzige Idee die ich jetzt hätte wäre, für jeden das gleiche Passwort zu hinterlegen und dies wäre einfach versteckt (geht das überhaupt mit dem Passwort fällt das es vorausgefüllt und versteckt ist?

Das geht schon. Der Browser fragt allerdings trotzdem noch nach ob das Passwort gespeichert werden soll oder nicht.

Ich rate dir trotzdem aus verschiedenen Gründen davon ab!

[jgrotstabel]

Das geht schon. Der Browser fragt allerdings trotzdem noch nach ob das Passwort gespeichert werden soll oder nicht.

Ich rate dir trotzdem aus verschiedenen Gründen davon ab!

Das der Browser dies nachfragt, kann man also nicht umgehen?
Aus welchem Grund räts Du denn davon ab, der Benutzername wäre sehr kryptisch und lang, das sollte doch keine Sicherheitslücke sein, oder? Hast Du eine Alternative Idee? Es muss auf jeden Fall im Formular, welches nach der Anmeldung folgt, der Vorname, Nachname und E-Mail übergeben werden.

[psren]

Das der Browser dies nachfragt, kann man also nicht umgehen?

Soweit ich weiß nein.

Aus welchem Grund räts Du denn davon ab, der Benutzername wäre sehr kryptisch und lang

Der muss dann sehr kryptisch und lang sein. Ich halte es dann für einfacher sich einen Benutzernamen/E-Mail und ein Passwort zu merken.

das sollte doch keine Sicherheitslücke sein, oder? Hast Du eine Alternative Idee? Es muss auf jeden Fall im Formular, welches nach der Anmeldung folgt, der Vorname, Nachname und E-Mail übergeben werden.

Da spricht ja mit der herkömmlichen Art mit Passwort auch nichts dagegen. Was ist der Grund dafür, dass alle das selbe Passwort haben sollen?

[jgrotstabel]

Das klingt auch alles absolut logisch, nur die Anforderungen kriegt ich sonst nicht gelöst.

Es wird eine Einladung per Post rausgehen auf der personalisiert ein Zugangscode steht. Der soll auf der Seite eingegeben werden und dann logt sich das System automatisch ein (Im System sind alle anderen Daten bereits hinterlegt). Der Zuganscode wäre dann also der Contao Benutzername und ein Passwort gibt es nicht. Daher ist mein Gedanke entweder das Passwort Feld komplett zu eleminieren, aber das geht ja wohl nicht, oder eben ein vorausgefülltes Passwort Feld zu setzen und das Passwort ist für jeden Gleich.
Das sich das System nur mit einem Code einlogt ist die zwingende Vorgabe für das Projekt, daher fällt mir auch keine andere bzw. optimale Lösung ein.

Ich glaube jetzt versteht man warum ich so verrückte Ideen poste :-)

[Flex]

Das ist mit einem kleinen Modul eigentlich kein Problem...

Dafür gibt es den Hook "checkCredentials".

Abgesehen davon dass der Ablauf unsicher ist, hier wäre mein Vorgehen:

Das Passwort Feld wird entfernt, der Benutzername bleibt. Der Username wird eingegeben, Contao prüft und schlägt natürlich fehl, weil das Passwort leer ist... Hier kommt der Hook checkCredentials mit rein, der automatisch true zurück gibt und somit Contao sagt, der Login wäre okay.

[jan.theofel]

Hi,

hast du das Geburtsdatum der Leute? Dann könntest du die birthdaypassword-Erweiterung von mir verwenden. Wenn nein ist sie eine gute Vorlage für das, was Flex schrieb.

Jan

[jgrotstabel]

Hey Flex,

leider hab ich noch keine erfahrung in der Modulentwicklung machen können. Ist das ein riesen Aufwand so ein Modul zu realisieren? Diese Lösung hört sich gut an, gibt es einen Ansatz wie ich mich in diese Materie einarbeiten kann?

Jan,

ich habe nicht alle Geburtsdaten, daher kommt diese Lösung leider nicht in Frage.


Danke für Eure Tipps

[jan.theofel]

Hi,

ich habe nicht alle Geburtsdaten, daher kommt diese Lösung leider nicht in Frage.

Dann nimm den zweiten Teil meiner Aussage: Nimm die Erweiterung und bau sie um. Sie macht nämlich genau nur die Passwortverifizierung und hast sonst nichts weiter drin - also keinen unnötigen Code. Das dürfte vom Aufwand her nicht viel sein. Wenn du dabei Unterstützung brauchst, kannst du mir gerne eine Mail senden.

Jan

[jgrotstabel]

Super, danke Jan. Das Projekt startet übernächste Woche und ich werde dann nächste Woche vorab ein wenig experimentieren. Meine Fragen poste ich dann wieder hier im Thread (damit alle was davon haben) oder lieber per pn? Wenn überhaupt fragen kommen ;-)

[psren]

Threat. Auch wenn keine Fragen kommen kannst du deine Lösung gerne Posten :-)

[jgrotstabel]

Werde ich natürlich machen.

[petra]

Hallo jgrotstabel,

benötige für ein Projekt ebenfalls ein Login ohne Passwort (oder ohne Benutzername) und wollte daher mal kurz nachfragen, ob Du es realisiert hast?

Vielen Dank für Deine Antwort im Voraus,
Petra

[jgrotstabel]

Hey Petra,

nein habe ich nicht. Da kamen nachher noch so ganz spezielle Wünsche dazu und das war dann für das Login Formular ein wenig zu viel des Guten.

Aber arbeite Dich doch nochmal hier rein:

Dann nimm den zweiten Teil meiner Aussage: Nimm die Erweiterung und bau sie um. Sie macht nämlich genau nur die Passwortverifizierung und hast sonst nichts weiter drin - also keinen unnötigen Code. Das dürfte vom Aufwand her nicht viel sein. Wenn du dabei Unterstützung brauchst, kannst du mir gerne eine Mail senden.

[petra]

Hey jgrotstabel,

vielen Dank für Deine Antwort! Habe sie auch berücksichtigt und umgesetzt, musste dann aber im Chrome feststellen, dass trotzdem das fehlende Passwort bemängelt wird, im Firefox nicht. Daher habe ich es mit einem für alle Mitglieder gleichen Passwort, das ebenfalls im mod_login als value hinterlegt ist, gelöst. Nicht so elegant, aber funktioniert.

Viele Grüße, Petra

[MPstudent]

Hey jgrotstabel,

vielen Dank für Deine Antwort! Habe sie auch berücksichtigt und umgesetzt, musste dann aber im Chrome feststellen, dass trotzdem das fehlende Passwort bemängelt wird, im Firefox nicht. Daher habe ich es mit einem für alle Mitglieder gleichen Passwort, das ebenfalls im mod_login als value hinterlegt ist, gelöst. Nicht so elegant, aber funktioniert.

Viele Grüße, Petra

Hey Petra,

bräuchte für ein Projekt die Möglichkeit dass sich mitglieder ohne Paswort registrieren und auch einloggen können, kannst du kurz etwas detaliierter beschreiben wie du das gelöst hast?

Lieben Dank
.christoph

[petra]

Hallo Christoph,

also wenn ich mich recht erinnere, funktioniert es ganz ohne Passwort nicht. Daher wird für alle Nutzer das gleiche Passwort in Contao hinterlegt (in meinem Fall werden die Nutzer in Contao eingerichtet, sie registrieren sich nicht) und in dem Template "mod_login_1cl.html5" die Passwort-Zeile wie folgt geändert:

HTML-Code:

<label for="password" style="display:none;"><?php echo $this->password; ?></label>
<input type="password" name="password" id="password" class="text password" value="123456789" style="display:none;">

Wirklich sicher ist es nicht...Hilft Dir das weiter?

Viele Grüße
Petra

[MPstudent]

Hey Petra,

danke für den Tipp, leider sollen sich meine Mitgleider selbst registrieren und sich danach trotzdem ohne Passwort (nur mit Mailadresse) einloggen können… Aber trotzdem Danke für deinen Code Snippet!

Beste Grüße
.christoph

[lucina]

Hallo Christoph,

also wenn ich mich recht erinnere, funktioniert es ganz ohne Passwort nicht. Daher wird für alle Nutzer das gleiche Passwort in Contao hinterlegt (in meinem Fall werden die Nutzer in Contao eingerichtet, sie registrieren sich nicht) und in dem Template "mod_login_1cl.html5" die Passwort-Zeile wie folgt geändert:

HTML-Code:

<label for="password" style="display:none;"><?php echo $this->password; ?></label>
<input type="password" name="password" id="password" class="text password" value="123456789" style="display:none;">

Wirklich sicher ist es nicht...Hilft Dir das weiter?

Viele Grüße
Petra

Schaut aus wie eine Einladung zu einer Brute-Force-Attacke. Ich rate von sowas ab, denn sicher ist das nicht, wenn ich den Aufwand zum Login halbiere.

[Samuell]

Hallo liebe Community,
heute kam genau das Thema "Login im FE nur mit Mitgliedername" auch bei mir auf und @xtra war so freundlich ein kleines Script dafür zu basteln, dass die ursprüngliche Idee sogar noch erweitert.

Hinweis:
Dieses Vorgehen ist logischerweise nicht so sicher wie der reguläre Login via Passwort und Benutzername.
Überlegt euch sehr, sehr gut ob und wo Ihr diese Methode anwendet.

In meinem Fall geht es nur um ein paar ergänzende Seminarunterlagen, die nicht ganz frei zugänglich sein sollen, weshalb ich keine Bedenken bzgl. der Sicherheit haben muss.

Einrichtung
Legt eine Mitgliedergruppe (zB "Direktlogin") an, in der die Mitglieder sich ohne Passwort einloggen dürfen und merkt euch dessen Gruppen-ID, die beim "hover" über den blauen Kreis ganz rechts in der Gruppenliste zu sehen ist.
Öffnet die Datei

PHP-Code:

system/config/initconfig.php 


und tragt dort folgenden Code ein:

PHP-Code:

<?php

$GLOBALS['TL_HOOKS']['checkCredentials'][] = array('MyClass', 'myCheckCredentials');

if (\Input::post('username') && !\Input::post('password')) {
    \Input::setPost('password', 'dontcare');
}

class MyClass
{
    public function myCheckCredentials($username, $password, \User $user)
    {
        // 42 == member group id of autologin members.
        if (($user instanceof \FrontendUser) && $user->isMemberOf(42)) {
            return true;
        }
    }
}

Tauscht die "42" durch die ID eurer Mitgliedergruppe aus

Funktion
Ist das Mitglied nicht in der Gruppe "Direktlogin" und versucht sich anzumelden, greift der normale Anmeldemechanismus.
Befindet sich das Mitglied jedoch in der Gruppe "Direktlogin", so kann es sich mit und ohne Angabe des Passwortes nur mit seinem Benutzernamen anmelden.

In meinem Fall wird der Benutzername eine Kursnr. sein, ist also nicht für jeden sofort zu erreaten.

Jedoch sei auch an dieser Stelle nochmal explizit darauf hingewiesen:

Diese ist logischerweise nicht so sicher wie der reguläre Login via Passwort und Benutzername. Wendet Sie nicht an wenn Ihr Daten habt, die Ihr wirklich schützen wollt oder müsst. Überlegt euch vor dem Einsatz gut, ob es nicht auch anders geht.


Vielen Dank an dieser Stelle nochmal an @xtra für das Bereitstellen dieser Lösung!

[Hoch-3]

Hallo ihr Lieben

Ich versuche das Mitglieder-Modul für etwas Spezielles zu "miss"brauchen. Eine Petition, Leute tragen sich ein und man kann die Liste dann einfach in eine Excel exportieren.

Jemand trägt sich ein, Name, Vorname, Mail, allenfalls Newsletter.
Danach sollte man auf eine Bestätigungsseite gelangen. Da kann man noch etwas zu bestellen.
Schön wäre, wenn Name, Vorname und Mail in dem Formular dann vorausgefüllt wären.

Meine Idee war, Mitglieder-Registrierung für den ersten Schritt verwenden.
Dann müsste es aber die Person grad einloggen und im folgenden Formular dann mit {{user::lastname}} etc. die drei Daten vorausfüllen.

Geht das überhaupt? Krieg ich das Mitglied angemeldet? Ohne Passwort etc.? Wenn ja, wie? Wenn nein, was würdet ihr empfehlen?

Zur Zeit läufts prima ohne die vorausgefüllten Felder im zweiten Formular, hier: https://energiestiftung.ch/petition-akw-kosten.html

Besten Gruss
René