Je nach Sicherheitsstufe sollten zugestellte Passworte neu generiert und natürlich nur einmal gültig sein. Denn E-Mail ist nach wie vor ein zwar geschätzter, aber potentiell unsicherer Kanal.

Als Benutzer bevorzuge ich eine E-Mail mit einem Link zu einer Seite, auf der ich das Passwort neu setzen kann. Die Gültigkeit des Links sollte auf einmalige Nutzung innerhalb von einigen Stunden beschränkt werden.

Das Problem beim Versand des Passwortes ist, dass ein Angreifer durch Kenntnis des E-Mail-Passwortes automatisch auf diesen Dienst Zugriff kriegt, sofern das Passwort nicht sofort geändert und die E-Mail aufbewahrt wird (siehe Vorschlag von Thomas).

Zusenden des vergessenen Originalpasswortes sollte in der Regel gar nicht möglich sein. Online-Dienste sollten niemals die Passwörter der Benutzer im Klartext ablegen, sondern nur in gehashter Form. Sind die Passwörter im Klartext gespeichert, können Angreifer diese durch ein eventuelles Sicherheitsleck auslesen und für den Zugriff auf andere Dienste verwenden.

Das Passwort zu ändern, nachdem es per E-Mail verschickt wurde, ist in jedem Fall eine gute Idee – dabei macht es dann allerdings keinen grossen Unterschied, ob es sich um das alte, vergessene Passwort handelt, oder um ein neues, automatisch generiertes. Das altbekannte wird von Benutzern leichter eingetippt, ein kryptisches Kunstwort muss eher aus dem Mail kopiert und eingefügt werden, womit einige User bereits wieder stark gefordert sind.

Usability und Security hatten naturgemäss schon immer einen grossen Trade-off. Trotz grossen technischen Fortschritten lassen sich diese Interessenkonflikte wohl nie ganz aus der Welt schaffen.

Hier werden grundsätzlich zwei verschiedene Ansätze diskutiert. Für eine Webagentur ist der Kunde natürlich immer noch König und bestimmt in letzter Instanz, welche Variante er in seinem Projekt umgesetzt haben möchte.

Aber natürlich bevorzugen wir auch die Variante mit verschlüsselten Paswörtern. Oder auch gleich OpenID (http://openid.net/) …