Passwortreset via E-Mail¶
Hinweis
Dies ist ein Entwurf, die hier aufgestellten Idee, können vor der Implementierung noch angepasst werden.
Motivation¶
Nutzendenfeedback hat ergeben, dass sich die Nutzernden nach einer einfachen Möglichkeit sehnen, Ihr Passwort selbstständig zurückzusetzen.
Userstory¶
Als Nutzenrin oder Nutzer möchte ich mein Passwort eigenständig zurücksetzen, damit ich ungestört arbeiten kann.
Als Administratorin oder Administrator möchte ich, dass die Nutzenden das Passwort selbstständig zurücksetzen können, damit ich nicht ständig Passwörter zurücksetzen muss.
Zielgruppen¶
Schülerinnen und Schüler
Lehrkräfte
...
Technische Umsetzung¶
Es wird jedem Nutzenden möglich sein, eine oder mehrere E-Mailadressen zum Passwortreset zur Verfügung zu stellen.
Diese E-Mail-Adressen werden mit einem Einweg-Hash behandelt und dann mit dem Nutzeraccount verknüpft gespeichert.
Wenn der Nutzende sein Passwort ändern will, so gibt er seinen Nutzernamen und eine der hinterlegten E-Mail-Adressen ein. Daraufhin wird für jeden in der Datenbank hinterlegten Hash, der dem Nutzendem zugeordnet ist, geprüft, ob dieser zu der E-Mail-Adresse passt. Wenn dies der Fall ist, wird an die im Klartext eingegebene E-Mail-Adresse ein Link zum Passwortreset versendet.
Mit diesem Verfahren ist sichergestellt, dass Schullogin keinen Rückschluss auf die verwendeten E-Mail-Adressen durchführen kann. Ausnahmen sind die folgenden, jeweils nur kurz auftretenden Zustände:
Speicherung der E-Mail-Adresse (vor dem Hashen)
Passwortreset
Datenschutz¶
Klärung mit RA Bode, Speicherung des Hashes ist gute Lösung-