"Neues Passwort setzen"-E-Mail im Spamfach

Hallo,
vor einiger Zeit gab es per Update ein Cooldown für die Passwortzurücksetzung, doch das Problem wurde damit kein bisschen gelöst.
Mir fiel nun auf, dass diese E-Mail im Spamfach landen, da ich sie jedoch nicht angefordert habe, ist das Problem scheinbar gering.
Doch manche Spamnachrichten landen nicht mal im Spamfach, sondern werden automatisch vom Provider gelöscht und meine Befürchtung ist, dass wenn es mal wirklich darauf ankommt, ich an diese E-Mail nicht ran komme, da ich über die Zeit mit den Anfragen zugespammt wurde.

Lösungsideen: Ist hier evtl. statt der Nick die Eingabe der E-Mail wie auf allen anderen (normalen) Seiten geplant, damit fremde Person das Passwort gar nicht erst zurücksetzen können, weil sie die E-Mail nicht kennen? Oder zu der Nickabfrage eine zusätzliche Sicherheitsfrage, die beantwortet werden muss, bevor diese E-Mail verschickt wird?

Ich finde, dass der Cooldown nicht ausreicht. Diese Mails treffen immer noch regelmäßig ein, weil einfach jeder wirklich JEDER den Link für ein neues Passwort eines fremden Nicks anfordern kann.

Hallo,

Spammails werden vom Anbieter nicht gelöscht, weil sie zu oft eingehen. Beim "aussortieren" VOR der Zustellung an das entsprechende Postfach geht es dann eher um Greylisting und vor allem dem abweisen von Mailservern mit Dialup-Adressen und ohne PTR Record.

Die Möglichkeit zu schaffen über die E-Mail-Adresse ein Passwort anzufordern ist deshalb schon nicht möglich, weil es keine Pflicht zur Angabe der E-Mail-Adresse bei der Registrierung gibt. Außerdem wird bei Knuddels zum Login der Nickname und nicht die E-Mail-Adresse (wie eben auf vielen anderen Webseiten) verwendet, weshalb dein Vergleich nicht ganz richtig ist.


Gute Grüße,
RigoSH

Was schreibst du da für einen Blödsinn bitte?

In Knuddel erfolgt aktuell und seit Jahren die Rücksetzung per E-Mail. Wenn keine E-Mail hinterlegt ist, ist ein einfaches zurücksetzen eh nicht möglich.
Lösung würde wie folgt ablaufen:
1. Schritt: Wie lautet der Nick, für den du das Passwort zurücksetzen möchtest? - Nick XY eintippen.
2.Schritt: Bestätige die Zurücksetzung des Passwort mit der Eingabe deiner hinterlegten E-Mail. - Eingabe der E-Mail-Adresse.
3.Schritt:
E-Mail hinterlegt und die Eingabe war korrekt. -> Versand der E-Mail mit dem Link zum Zurücksetzen.
E-Mail falsch oder keine E-Mail hinterlegt. -> Fehlermeldung, dass entweder die E-Mail nicht korrekt ist oder keine E-Mail hinterlegt ist.
4.Schritt: Eingabe der E-Mail wiederholen ODER sich an den Support wenden, falls keine E-Mail hinterlegt ist.

Folgen: Es gibt keinen Spam mehr mit Passwortrücksetzungen, alles andere bleibt wie gehabt.

Andere Unternehmen machen es genau so bzw. es wird erst nach dem Login-Name gefragt und dann wird die Sicherheitsfrage gestellt. Das ist auch eine Alternative. Ich bekomme nur von Knuddels und sonst bei keine anderen Unternehmen/ andere Seite, Forum oder einem anderen Chat/ App einfach E-Mails, dass mein Passwort zurückgesetzt werden soll.

Hallo,

das war erstmal natürlich kein Quatsch, und auch andere Plattformen ermöglichen es durchaus auch ohne eine "Bestätigung" Passwortmails auszulösen.

Eine Passwortanforderung, wie jetzt (!) von dir vorgeschlagen, durch Bestätigung der hinterlegten E-Mail-Adresse auszulösen, ist ein denkbarer Weg. Erschwert aber ggf. auch die Möglichkeit für den Nutzer, sein Passwort zurück zu bekommen, weshalb man das durchaus gut durchdenken sollte.

Außerdem halte ich es für schwierig, wenn es einem möglichen Angreifer möglich ist, herauszufinden, ob Nick XYZ mit E-Mail-Adresse XYZ verknüpft ist. Schon jetzt sehe ich es eher kritisch, dass jedem möglichen Angreifer angezeigt wird, ob überhaupt eine E-Mail-Adresse hinterlegt ist. Das geht auch anders:

Viel besser wäre es - wie eigentlich üblich - nach einer Anforderung nur anzuzeigen, dass eine E-Mail unterwegs ist, wenn die eingegebenen Daten übereinstimmen. Hier kann man immer noch auf das Hilfecenter verweisen, ohne aber preiszugeben, ob die Kombination aus Nickname und E-Mail-Adresse stimmt.


Gute Grüße,
RigoSH