Zum Inhalt springen

Wie setze ich das Passwort eines Benutzers zurück?

Ab Tarif Basic

Auf der Benutzer-Detailseite, Bereich Passwort, hast du zwei Wege: ein neues Kennwort direkt setzen (optional per E-Mail an den Benutzer senden) oder einen Reset-Link an die hinterlegte Adresse schicken, mit dem der Benutzer selbst ein Kennwort wählt. Hat sich jemand aus der Zwei-Faktor-Anmeldung ausgesperrt, setzt du im Bereich Zwei-Faktor die 2FA zurück.

  1. Benutzer öffnen. Verwaltung → Benutzerverwaltung → Benutzer anklicken.

  2. Kennwort setzen. Im Bereich Passwort trägst du ein neues Passwort ein (oder lässt dir ein sicheres 14-stelliges generieren) und klickst „Passwort setzen”. Aktivierst du zusätzlich „Neues Passwort per E-Mail an den Benutzer senden”, erhält der Benutzer das Kennwort über einen sicheren Einmal-Link, nicht im Klartext.

    Kennwort direkt setzen, per E-Mail einladen oder einen Reset-Link senden.
  3. Alternativ: Reset-Link senden. Mit „Reset-Link senden” bekommt der Benutzer eine E-Mail, über die er selbst ein neues Kennwort vergibt.

  4. 2FA zurücksetzen (bei Aussperrung). Im Bereich Zwei-Faktor entfernst du über „2FA deaktivieren” alle Authenticator-Geräte des Benutzers, etwa bei Geräteverlust.

  • Kennwortwechsel-Pflicht. Setzt ein Administrator ein Kennwort direkt, markiert Notory das Konto mit „Kennwort ändern erforderlich”: Beim nächsten Login muss der Benutzer ein eigenes Kennwort wählen, bevor er die Anwendung nutzen kann. Das administrativ gesetzte Kennwort ist also nur ein Transportgeheimnis.
  • Kein Klartext per E-Mail. Bei „per E-Mail senden” landet das Kennwort auf einer One-Time-Secret-Instanz; die Mail enthält nur den Einmal-Link („Kennwort anzeigen”), der nach einmaligem Öffnen verfällt. Ist kein Einmal-Link-Dienst erreichbar, fällt Notory auf einen Reset-Link zurück, nie auf Klartext.
  • Reset-Token ist einmalig und befristet. Der Reset-Link enthält ein einmal verwendbares, zeitlich begrenztes Token. Nach Ablauf oder Gebrauch ist er ungültig.
  • Argon2id. Jedes neue Kennwort wird mit Argon2id gehasht; Klartext wird nie gespeichert. Jede Kennwortänderung erzeugt einen Protokoll-Eintrag (password_change).
  • Self-Service-Reset. Ob Benutzer über die Login-Maske selbst einen Reset-Link anfordern dürfen, steuerst du zentral (Instanz-Einstellung „Self-Service-Passwort-Reset”). Zur Vermeidung von Konten-Enumeration antwortet Notory dabei immer neutral.
  • 2FA-Reset. Das Deaktivieren entfernt alle Geräte und setzt totp_enabled zurück. Ist 2FA erzwungen, wird der Benutzer beim nächsten Login erneut zur Einrichtung geführt.