Ergebnis 1 bis 9 von 9

Thema: Mitglieder - Passwortänderung erzwingen

  1. #1
    Contao-Urgestein Avatar von Kahmoon
    Registriert seit
    22.06.2009.
    Ort
    München
    Beiträge
    4.249

    Standard Mitglieder - Passwortänderung erzwingen

    Hallo zusammen,

    kann man bei Mitglieder auch eine Passwortänderung nach dem Login erzwingen? Bei Benutzern geht das....bei Mitgliedern wäre es aber eigentlich wichtiger?

    Hintergrund....eine meiner Seite hat ca. 500 Mitglieder. Viele davon haben ihr Startpasswort nie geändert was dazu führt das sich andere Leute, die sich den Benutzernamen zusammenreimen können, beim anderen einloggen können und deren Dokumente (Lohnabrechnung etc.) sehen können. Das ist super ungünstig :-(

    Momentan müsste ich alle deaktivieren und einzeln aktivieren und neue PAsswörter vergeben, was ein riesen Aufwand wäre.

    VG
    Frank

  2. #2
    Contao-Nutzer Avatar von claus
    Registriert seit
    30.07.2014.
    Ort
    Dresden
    Beiträge
    234

    Standard

    Mein Vorschlag wäre, dass du dich über einen Hook, z.B. checkCredentials, an den Login-Prozess hängst und dort (unabhängig vom Passwort) den Loginversuch als invalid kennzeichnest und den Benutzer zur neuen Passwortvergabe leitest. Wenn der Benutzer ein neues Passwort vergibt, kannst du das ja zusätzlich in einem neuen Datenbankfeld speichern, damit du weißt, ob der Benutzer schon einmal diesen Prozess durchlaufen hat.

    Hast du denn generell eine Seite, über die das Passwort neu vergeben werden kann? Wie ist das eigentlich bei Mitgliedern... muss das neue Passwort mit irgendeiner Verifizierung neu vergeben werden (z.B. Bestätigung per Mail)? Da stecke ich grad zu wenig in der Mitgliederverwaltung drin. Du schreibst ja, dass auch die Benutzernamen erraten werden können. Dann bringt es ja nicht viel, wenn ein unberechtigter User für einen fremden Benutzernamen ein neues Passwort vergibt, ohne dass seine Zugriffsberechtigung überprüft werden kann.

  3. #3
    Contao-Urgestein Avatar von Kahmoon
    Registriert seit
    22.06.2009.
    Ort
    München
    Beiträge
    4.249

    Standard

    Servus,

    mich in einen Hook hängen kann ich leider nicht. Das übersteigt meine Fähigkeiten :-)

    Ja, es gibt bereits eine Seite um ein neues Passwort zu generieren. Ist aber in diesem Fall direkt neben dem Login.

    "Erraten" heisst in dem Sinne das der Benutzername immer gleich aus Vorname, Name etc. aufgebaut ist.

    VG

  4. #4
    Contao-Nutzer Avatar von claus
    Registriert seit
    30.07.2014.
    Ort
    Dresden
    Beiträge
    234

    Standard

    Mhhh ich habe auf die Schnelle diese Erweiterung gefunden: contao-force-password-change
    Vielleicht hilft das schon weiter?

    Das einfachste wäre z.B. noch einen Sicherheitshinweis nach dem Login zu schreiben, indem du wirklich explizit zur Passwortänderung aufforderst. Noch ein paar Hinweise dazu, wie ein sicheres Passwort zu wählen ist und dann solltest du schon ein paar Mitglieder damit erwischen.

    Oder du machst eine Art Vorschaltseite für den Mitgliederbereich mit dem Passwort-Vergessen-Formular und schreibst aber sowas hin wie "Wir gestalten unseren Mitgliederbereich sicherer. Dazu müssen wir Ihnen ein neues Passwort zusenden.... usw." In der Mail, in der das neue Passwort generiert wird, verweist du auf die Original-Login-Seite, wo sich die User anmelden können. Nach ein paar Monaten nimmst du die Seite einfach wieder weg.


    Was das erraten angeht, so würde ich den Text entfernen, der auf die Kleinschreibung hinweist. Das ist ja schon ne Einladung zum Probieren ;-)

  5. #5
    Contao-Nutzer
    Registriert seit
    18.06.2017.
    Beiträge
    80

    Standard

    Hey,

    kann man nicht einfach per SQL die vorhanden Passwörter überschreiben? Dann muss der Nutzer ja ein neues Password erzeugen, um sich anzumelden. Vielleicht aber auch ein etwas "radikaler" Schritt

  6. #6
    Contao-Urgestein Avatar von Kahmoon
    Registriert seit
    22.06.2009.
    Ort
    München
    Beiträge
    4.249

    Standard

    Die werden ja mit einem Salt & Hash generiert. Einfach per SQL überschreiben geht nicht. (Edit: Achso du meinst damit quasi den Zugang sperren). Problem ist das hier zu 90% Fakemailadressen hinterlegt sind...fragt nicht....da wurde in der Vergangenheit beim anlegen gerne aaa@a.de etc. verwendet. Nur damit man den Datensatz speichern kann. Passwort zusenden lassen funktioniert also auch nicht.

    Da auf dieser Installation kein Composer läuft, kann ich die oben genannte Erweiterung auch leider nicht verwenden :-(


    Jetzt bekommt vermutlich ein Azubi von mir ne Excelliste mit neuen Passwörtern
    Geändert von Kahmoon (18.09.2018 um 09:46 Uhr)

  7. #7
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    805

    Standard

    Das wäre eigentlich schon eine nötige Funktion, FE-User zur Festlegung eines neuen Passworts zu zwingen und dabei auch zu verhindern, dass sie ihr altes PW wiederverwenden.

  8. #8
    Contao-Urgestein Avatar von Kahmoon
    Registriert seit
    22.06.2009.
    Ort
    München
    Beiträge
    4.249

    Standard

    Am besten auf Github einen Feature Request machen. Zumindest das es ein Häkchen für den Änderungszwang geben wird.

  9. #9
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    805

    Standard

    Zitat Zitat von Kahmoon Beitrag anzeigen
    Am besten auf Github einen Feature Request machen. Zumindest das es ein Häkchen für den Änderungszwang geben wird.
    siehe https://github.com/contao/contao/issues/836

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •