Aber so ein Fake-Mail Angriff ist prinzipiell möglich,
vorallem bei
der Formulierung der jetzigen Nachricht. "Sie sollten sich jetzt
anmelden und Ihr Passwort ändern."
Besser wäre: "Wenn sie Ihr altes Passwort
vergessen haben können Sie
sich jetzt Anmelden und Ihr Passwort ändern, ihr altes Passwort
funktioniert bis zur Änderung."
Bevor ich (oder jemand anders) das ändert: wie lange gilt denn das neue
Passwort? Eine begrenzte Zeit oder bis zur nächsten Passwortänderung?
(Nebenbei: so eine Nachricht habe ich vor geraumer Zeit auch schon mal
bekommen.)
Denkbarer Text:
Jemand <etc. ...>
Ihr bisheriges und das neu angeforderte Passwort sind beide gültig bis Sie
das Passwort das nächste Mal ändern. Wir empfehlen aus Sicherheitsgründen,
das Passwort in so einem Fall neu zu setzen.
Der Text ist übrigens hinterlegt in [[MediaWiki:Passwordremindertext]].