Mitglieder sollen Passwort ändern beim ersten Einloggen

**michschu** · 17.08.2012, 20:51

Hi,

ich möchte erzwingen, dass Mitglieder beim ersten Einloggen ihr Passwort ändern - so wie das bei Benutzern möglich ist. Ich habe hierzu auch einen Thread von 2010 gefunden, der darlegt, dass dies nicht möglich ist. Aber gilt das noch in 2012? Bzw. gibt es hierzu zwischenzeitlich keine Extension? Ich habe zwar ein paar gefunden, die sich mit Passwörtern beschäftigen, aber keines für diesen speziellen Task. Oder irre ich mich?

Danke, michschu

**KATgirl** · 17.08.2012, 22:47

Wir haben das auch überlegt, sind dann aber noch einen anderen Weg gegangen. Unsere Passwörter sind nur 90 Tage gültig. Danach wird man auf gefordert ein neues Passwort zu setzen. Hat man sich schon 120 Tage nicht mehr das Passwort gewechselt, dann muss der Admin den Account erst wieder freigeben. Des weiteren darf kein Passwort doppelt genutzt werden.

Hat einige schon Wahnsinnig gemacht, aber wir finden Sicherheit geht vor. Leider ist das nicht Standalone, so das ich das schnell bereitstellen kann, wenn aber Bedarf besteht würde ich das nach dem Urlaub mal mit auf den ToDo Zettel schreiben.

**fiedsch** · 18.08.2012, 05:49

@michschu: wir vergeben dem Mitglied beim Anlegen ein Passwort, das wir ihm aber nicht mitteilen und selbst auch sofort wieder vergessen). Dann schicken wir ihm eine Mail, daß sein Benutzerkonto angelegt wurde und er es "aktivieren" soll. Das "aktivieren Modul" ist nicts anderes als ein anders gelabeltes/getextetes "Passwort vergessen" Modul. Somit muss er auch zuerst sein Passwort selbst wählen (technisch = ändern).

@katgirl: ein paar Stichpunkte zu den was und wo wären nett, falls man das selbst mal umsetzen muss. Ich hatte vor einiger Zeit eine ähnliche Anfrage von einem Kunden (Passworthistorie/die letzten x sind nicht mehr erlaubt). Hat sich mittlerweile erledigt, aber "man sieht sich ja immer zweimal im Leben" ... das kommt schon irgendwann wieder. Zur Sicherheit: Ich glaube, man muss hauptsächlich das Bewusstein der User schärfen, da krankt es aus meiner Erfahrung am meisten.

**KATgirl** · 18.08.2012, 10:34

Stichpunkte aber immer doch, solange ich nicht programmieren muss :-)

- eine neue Tabelle wo die alten Passwörter gespeichert werden.
- die tl_member um zwei Spalten erweitern (nächster Login neues Passwort, Zeitstempel der letzten Passwortänderung), da fällt mir auf, das kann man ja ganz einfach auch noch über die DCA machen, so das man manuell setzen könnte
- CRON der die Zeiten überwacht und dann die entsprechenden Werte setzt (neues Passwort erforderlich, oder deaktivieren des Accounts)
- neues FE Modul für den Login mit der Möglichkeit neues Passwort zu setzen. Hier kann man sicher auch über den Login-Hook gehen und dann auf die Passwort ändern Seite verweisen, aber ob das sicher ist? Wir haben das lieber über ein eigenes Modul gemacht, denn das macht bei unseren Änderungen auch keinen Unterschied mehr. :-)

Du hast Recht, eigentlich ist es verkehrt das wir Module dafür entwickeln. Besser wäre es die Mitglieder zu mehr Bewustsein zu bewegen. Aber wer macht das denn schon von uns selbst. Ich erinnere nur mal an das Backup, das man immer machen will :-) wie lange ist dein letztes Backup her? Bei meinen Servern habe ich da weniger Probleme, die werden automatisch gesichert. Doch mein Desktop da sieht es anders aus :-)

Ein schönes sonnig es Wochenende.
Grüße aus Wuppertal

**cavenue** · 05.04.2013, 21:41

Zitat von fiedsch

wir vergeben dem Mitglied beim Anlegen ein Passwort, das wir ihm aber nicht mitteilen und selbst auch sofort wieder vergessen). Dann schicken wir ihm eine Mail, daß sein Benutzerkonto angelegt wurde und er es "aktivieren" soll. Das "aktivieren Modul" ist nicts anderes als ein anders gelabeltes/getextetes "Passwort vergessen" Modul. Somit muss er auch zuerst sein Passwort selbst wählen (technisch = ändern).

Ist der Link in dieser Mail dann nur für eine gewisse Zeit gültig ?
Dann müsste man ja das ganze wiederholen, wenn das Mitglied nicht rechtzeitig reagiert.

**fiedsch** · 06.04.2013, 06:38

Nein, das ist ja nur der Link zum "Passwort vergessen Modul" der Website. Und das ist ständig aktiv -- schließlich kann jederzeit ein User sein Passwort vergessen. Wir haben das Ganze nur umgelabelt zu "Konto aktivieren". Technisch ist es nichts anderes als Passwort vergessen.

**cavenue** · 06.04.2013, 07:54

Sorry, ich hätte meine Frage wohl anders formulieren sollen.

Daß das Modul "Passwort vergessen" immer aktiv sein muss, ist mir schon klar.
Aber zur Identifizierung wird doch ein Token vergeben, oder nicht ?

Meine eigentliche Frage wäre dann also:
Wird dieses Token irgenwann aus der Datenbank gelöscht (außer wenn das Mitglied auf den Link klickt) ?
Denn dann würde nämlich auch der Link in der Mail nicht mehr funktionieren.

**fiedsch** · 06.04.2013, 08:13

Soweit ich weiß, wird das Token aus der vom Passwort-Vergessen-Modul generierten und verschickten E-Mail irgendwann ungültig. Aber das macht ja nichts, denn der User kann sich ja via Klick auf Passwort vergessen jederzeit eine neue E-Mail zuschicken lassen. (Ich glaube, ich habe das eigentlichen Problem noch nicht ganz verstanden). Und den Text der E-Mail könnte man ja anpassen und dort erwähnen, daß der Link nur eine gewisse Zeit gültig ist.

**cavenue** · 06.04.2013, 09:10

Zitat von fiedsch

(Ich glaube, ich habe das eigentlichen Problem noch nicht ganz verstanden).

Hehe, du hast meine Frage aber trotzdem schon ausreichend beantwortet.

Vielen Dank für deine schnelle(n) Antwort(en).

**amarin** · 13.07.2013, 23:42

Hallo,

Gibt es hierzu Neues? ich suche eine ähnliche Lösung. Über den postLogin Hook könnte man zwar nach dem Login zur "Kenwort ändern" Seite weiterleiten. Das hindert einen schlauen Nutzer aber nicht daran einfach von Hand die gewünschte URL einzugeben und somit die Kennwort-Änderung zu umgehen.

Im Backend ist das tief im Core verankert (contao/main.php - V3.1.0)

Code:

55                 // Password change required
56                 if ($this->User->pwChange)
57                 {
...
63                                 $this->redirect('contao/password.php');
...

Ich sehe momentan keine einfache Lösung das zu realisieren, ohne den Core für's FE zu ändern. Vielleicht habe ich aber einen Hook übersehen, der vor der Ausgabe der Page angesprungen wird und ggf. einen Redirect ausgeben kann.

"generatePage" ist schon arg tief in der Verarbeitung. "getPageLayout" ist früher dran, beide wären aber ein Missbrauch des eigentlichen Zwecks des Hooks. Außerdem müssten dann alle Prüfungen auf Error-Pages usw. an der Stelle erneut ausgeführt werden.

Ein neuer Hook etwa hier, in der index.html (contao 3.1.0) würde die Lösung erleichtern.

Code:

234 
235                 // Load the page object depending on its type
236                 $objHandler = new $GLOBALS['TL_PTY'][$objPage->type]();
237 
238                 switch ($objPage->type)

Anderfalls könnte man die Funktionalität auch gleich in den Core einbauen. Dazu muss natürlich die Kennwort-Ändern Seite, die angesprungen werden soll, irgendwo hinterlegt werden. Anders als im BE gibt es die ja nur wenn sie vom Webseiten-Entwickler eingerichtet wurde. Man könnte sie z.B. in der Website-Root hinterlegen. Dann hätte man allerdings nur eine anspringbare Seite pro Website-Root. Das reicht sicher für die meisten Seiten. Seiten, die innerhalb einer Website-Root unterschiedliche Kennwort-Ändern Seiten haben müssen dann eben den Hook implementieren.

Vielleicht mache ich mal einen fork und probiere das aus.

Gruß Holger