Passwortreset via E-Mail

Hinweis

Dies ist ein Entwurf, die hier aufgestellten Idee, können vor der Implementierung noch angepasst werden.

Motivation

Nutzendenfeedback hat ergeben, dass sich die Nutzernden nach einer einfachen Möglichkeit sehnen, Ihr Passwort selbstständig zurückzusetzen.

Userstory

  • Als Nutzenrin oder Nutzer möchte ich mein Passwort eigenständig zurücksetzen, damit ich ungestört arbeiten kann.

  • Als Administratorin oder Administrator möchte ich, dass die Nutzenden das Passwort selbstständig zurücksetzen können, damit ich nicht ständig Passwörter zurücksetzen muss.

Zielgruppen

  • Schülerinnen und Schüler

  • Lehrkräfte

  • ...

Technische Umsetzung

Es wird jedem Nutzenden möglich sein, eine oder mehrere E-Mailadressen zum Passwortreset zur Verfügung zu stellen.

Diese E-Mail-Adressen werden mit einem Einweg-Hash behandelt und dann mit dem Nutzeraccount verknüpft gespeichert.

Wenn der Nutzende sein Passwort ändern will, so gibt er seinen Nutzernamen und eine der hinterlegten E-Mail-Adressen ein. Daraufhin wird für jeden in der Datenbank hinterlegten Hash, der dem Nutzendem zugeordnet ist, geprüft, ob dieser zu der E-Mail-Adresse passt. Wenn dies der Fall ist, wird an die im Klartext eingegebene E-Mail-Adresse ein Link zum Passwortreset versendet.

Mit diesem Verfahren ist sichergestellt, dass Schullogin keinen Rückschluss auf die verwendeten E-Mail-Adressen durchführen kann. Ausnahmen sind die folgenden, jeweils nur kurz auftretenden Zustände:

  • Speicherung der E-Mail-Adresse (vor dem Hashen)

  • Passwortreset

Datenschutz

Klärung mit RA Bode, Speicherung des Hashes ist gute Lösung-