Hi,

Wenn ich bei Ebay auf "Passwort vergessen" klicke, wird auch nur meine Email-Adresse benötigt, aber das Passwort wird mir nicht zugeschickt, sondern statt dessen ein Link, mit dem ich dann das Passwort zurücksetzen und neu vergeben kann.

Warum wird das so gemacht? Weil dann das Passwort nicht im Klartext verschickt wird bzw. wenn sie angekommen ist in einer Mail steht oder weil man mit der Mail nur 24 Stunden etwas anfangen kann?

Neben den bereits genannten Gründen:

Wenn der Service dir direkt ein neues Passwort *setzen* würde, dass er dir anschließend zuschickt – dann kann ich dich, wenn ich deine Email-Adresse kenne, erst mal kurzzeitig „ausschließen“, weil du nach meiner Anforderung jetzt ein neues Passwort hast, von dem du aber noch gar nichts weißt … (und gerade bei eBay wäre das doof, wenn ich das kurz vor Ende einer Auktion, auf die du noch mitbietest, mache.)

Klar, man könnte das auch so umsetzen, dass altes und neues Passwort parallel gespeichert werden, und für eine Übergangsphase beide gültig sind – aber das erhöht neben dem Aufwand ggf. auch den Angriffsvektor.

Mit dem schlichten „Passwort zurücksetzen“-Link hingegen bleibt es dir überlassen, ob du den tatsächlich nutzt oder ignorierst (wenn die Anfrage eigentlich durch mich ausgelöst wurde).

MfG ChrisB