Stephan Walter schrieb:
Das Problem ist doch, dass das alte Passwort immer noch funktionierte! Wenn also jemand mein Passwort erfährt und ich es darauf ändere, kann derjenige sich immer noch mit dem alten Passwort einloggen.
Bevor hier weiter die Vermutungen ins Kraut schießen, ein paar Worte über MediaWikis Passwort-Verwaltung:
Wenn ein neues Passwort angefordert wird, wird es an die im Account (hoffentlich) hinterlegte Mailadresse geschickt. Ab jetzt kann man sich mit zwei Passwörtern anmelden: Dem alten (das idealerweise niemand außer einem selbst weiß) und dem Software-generierten (das *nur* an die bereits hinterlegte Mailadresse geschickt wird und nicht irgendwo anders hin). Der Hintersinn ist, dass der Benutzer sich jetzt mit dem Mail-Passwort anmeldet und in seinen Einstellungen ein neues, besser zu merkendes eingibt. Dann wird das alte Passwort mit dem neuen überschrieben und das Mail-Passwort ungültig.
Alwin Meschede