Der TYPO3-Passwort Reset - sicherer, bequemer und effizient

|Daniel Gorges

Der Passwort-Reset-Prozess wurde in TYPO3 v10 erheblich verbessert: Er ist sicherer, spart Zeit und durch das Versenden von E-Mails zum Zurücksetzen von Passwörtern bleibt alles im Corporate Design der Website.

Kein Grund mehr, den Admin zu nerven

In früheren Versionen von TYPO3 musste ein Backend-Benutzer jedes Mal, wenn er sein Passwort vergessen hatte, einen Administrator informieren und ihn bitten, es zurückzusetzen. Man musste dem Admin den Benutzernamen schicken, damit dieser ein neues Passwort festlegen und es dem Benutzer zusenden konnte. Es war dann Sache des Benutzers, ein neues, sicheres Passwort zu wählen, indem er sich eingeloggt hat um das Passwort nochmal zu ändern, was viele Benutzer dann aber vergessen haben.

Der neue, immer aktivierte Passwort-Reset-Prozess im TYPO3-Core sieht wie folgt aus:

  • Der Benutzer versucht, sich im Backend anzumelden und stellt fest, dass er sein Passwort verloren oder vergessen hat.
  • Er klickt auf „Passwort vergessen“ beim Anmeldescreen von TYPO3 und gibt dann seine E-Mail-Adresse ein.
  • Es wird automatisch eine E-Mail verschickt, die entsprechend dem Branding der Website gestaltet ist (dank einer weiteren Perle in TYPO3 v10 – Fluid-Styled HTML-E-Mails).

Alternativ ist es immer noch möglich, dass ein Administrator das Zurücksetzen für einen Benutzer durchführt. In diesem Fall braucht dieser Administrator weder das bestehende noch das neue Passwort zu kennen: Solange der ´ Benutzernamen oder die E-Mail-Adresse bekannt ist, kann ein Reset ausgelöst werden und die E-Mail an den Benutzer gesendet werden, damit dieser wie oben beschrieben selbst ein neues Passwort vergeben kann. Natürlich ist es immer noch möglich das Passwort auf die altmodische Weise im Backend zurücksetzen – auch wenn wir davon abraten.

Keine Abhängigkeiten von Extensions - es steckt alles im Core.

In älteren TYPO3-Versionen konnte das Feature auch mit Third-Party-Extensions eingebaut werden. Diese klinkten sich allerings direkt in den Anmeldeprozess ein, was in Punkto Sicherheit eher riskant ist. Zudem hatten die E-Mails ein anderes Design als die Website selbst, was bei einem sicherheitsbewussten Benutzer leicht die Alarmglocken läuten lassen konnte.

Ich als Entwickler bin jetzt froh, dass dieser Workflow nun „out-of-the-box“ funktioniert, denn ich kann ausgefeiltere, sichere TYPO3 Projekte bauen, ohne Extensions installieren und konfigurieren zu müssen. Die Extensions waren meiner Meinung nach auch nie wirklich zufriedenstellend. Wenn ich weniger Extensions im TYPO3 installiert habe, weil ich auf Core-Funktionen zurück greife, verringert sich auch der künftige Wartungsaufwand bei Updates.

Reset and forget (oder andersrum)

Ein weiterer Vorteil der Möglichkeit, dass Benutzer ihre Passwörter selbstständig zurücksetzen können, besteht darin, dass es ihnen nicht peinlich sein muss, den Admin zum fünften Mal hintereinander zu stören, da kein menschlicher Kontakt notwendig ist. Im Idealfall sollten Benutzer einen Passwortmanager benutzen, so dass sie ein Passwort wählen können wie, sagen wir …  PhOcY2Lra05@xCqS&9 oder sogar ganz auf Nummer sicher gehn mit etwas wie z.B. n#OH@uZdrJzBxq@fT*al7Z1^5SEzj^VoTUbgJE%HjRYeOv!LKYUmd^4p0QA … sicher in dem Wissen, dass man das Passwort leicht zurücksetzen kann, wenn man etwa das Passwort zum Passwortmanager vergessen hat oder aus irgendeinem Grund vorübergehend nicht in der Lage ist, darauf zuzugreifen.

Für die ganz speziellen Freaks:

TYPO3 v10 erlaubt Passwörter mit bis zu 100 Zeichen!

...ist auch besser fürs Business

Alles in allem ist dieser Ansatz zum Zurücksetzen von Passwörtern für alle Benutzer intuitiver und sicherer. Nicht zuletzt werden Unternehmen und Agenturen von der zusätzlichen Effizienz begeistert sein, da sie sowohl durch den unkomplizierten Reset-Prozesses selbst als auch durch weniger Support-Aufgaben durchaus Zeit sparen werden.

Wieder ein weiterer guter Grund, auf die neueste Version von TYPO3 zu aktualisieren! Wenn Du Hilfe bei der Aufwandsschätzung benötigst, um die Vorteile eines Upgrades zu verstehen oder sogar direkt ein Update zu planen – wir sind da!

Interessiert? Schau Dir unseren 2nd Opinion und Upgrade-Service an!

Unsere Lösung