Wie setze ich mein Passwort zurück?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Klicke auf der Anmeldeseite auf „Passwort vergessen?”, gib deine E-Mail-Adresse ein und sende die Anfrage ab. Existiert ein Konto, erhältst du eine E-Mail mit einem Zurücksetzen-Link (standardmäßig 60 Minuten gültig). Über den Link vergibst du ein neues Passwort (mindestens 8 Zeichen) und meldest dich anschließend damit an.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Der Link „Passwort vergessen?” erscheint nur, wenn dein Administrator den Self-Service-Passwort-Reset freigeschaltet hat und ein E-Mail-Server (SMTP) konfiguriert ist. Fehlt der Link, wende dich an deinen Administrator. Er kann dir direkt ein neues Passwort setzen oder einen Reset-Link senden (siehe Benutzer & Rollen). Bist du bereits angemeldet und willst dein Passwort nur wechseln, nutze Profil verwalten.
Anleitung
Abschnitt betitelt „Anleitung“-
„Passwort vergessen?” öffnen. Klicke auf der Anmeldeseite unter dem Passwortfeld auf „Passwort vergessen?”.
Screenshot ausstehenderste-schritte-passwort-reset-01Anmeldemaske mit hervorgehobenem Link 'Passwort vergessen?' unter dem PasswortfeldDer Link 'Passwort vergessen?' auf der Anmeldeseite (nur bei aktivem Self-Service-Reset). -
E-Mail-Adresse eingeben. Trage deine Konto-E-Mail ein und klicke auf „Link senden”. Es erscheint der Hinweis „Falls die E-Mail existiert, wurde ein Link zum Zurücksetzen gesendet.” Diese Meldung kommt immer, unabhängig davon, ob die Adresse registriert ist.
Screenshot ausstehenderste-schritte-passwort-reset-02Formular 'Passwort zurücksetzen' mit E-Mail-Feld und Schaltfläche 'Link senden' sowie BestätigungshinweisNach dem Absenden bestätigt Notory neutral, dass ein Link versendet wurde. -
Link in der E-Mail öffnen. Öffne die E-Mail „Passwort zurücksetzen” und klicke auf die Schaltfläche im Text. Du landest auf der Seite „Neues Passwort festlegen”.
-
Neues Passwort setzen. Gib das neue Passwort und die Bestätigung ein (beide müssen übereinstimmen, mindestens 8 Zeichen) und klicke auf „Passwort ändern”. Bei Erfolg erscheint „Dein Passwort wurde geändert. Du kannst dich jetzt anmelden.”
Screenshot ausstehenderste-schritte-passwort-reset-03Formular 'Neues Passwort festlegen' mit den Feldern Neues Passwort und Passwort bestätigenÜber den Link aus der E-Mail vergibst du ein neues Passwort.
Der Reset besteht aus zwei Schritten: Link anfordern und mit dem Token bestätigen.
curl -X POST https://demo.notory.io/api/v1/auth/password/reset \ -H "Content-Type: application/json" \ -d '{ "email": "max.mustermann@example.com" }'Die Antwort ist immer identisch, auch für unbekannte Adressen, um Rückschlüsse auf existierende Konten zu verhindern:
{ "message": "If the email exists, a password reset link has been sent" }Den Token aus der E-Mail (Parameter token in der Link-URL) löst du gegen ein neues
Passwort ein:
curl -X POST https://demo.notory.io/api/v1/auth/password/reset/confirm \ -H "Content-Type: application/json" \ -d '{ "token": "TOKEN-AUS-DER-EMAIL", "new_password": "neues-sicheres-passwort" }'{ "message": "Password has been reset successfully" }Mögliche Fehler: 400 (Token ungültig, bereits verwendet oder abgelaufen), 429
(Rate-Limit beim Anfordern erreicht).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Freischaltung (Gating): Der Self-Service-Reset funktioniert nur, wenn er aktiviert ist (Instanz-Einstellung bzw. ENV-Standard). Ist er aus, wird die Anfrage still ignoriert. Es geht keine E-Mail raus. Steuerung: Admin → Login & Sicherheit → „Self-Service-Passwort-Reset (Login-Maske)”. Voraussetzung ist ein konfigurierter SMTP-Server.
- Keine Nutzer-Enumeration: Die Bestätigung ist immer gleich, egal ob die E-Mail existiert. So lässt sich nicht herausfinden, welche Adressen registriert sind.
- Einmal-Token: Der Link enthält einen einmal verwendbaren Token, der nur als SHA-256-Hash gespeichert wird und standardmäßig 60 Minuten gültig ist. Nach Gebrauch ist er entwertet.
- E-Mail-Inhalt: Die Nachricht kommt in deiner Konto- bzw. Instanzsprache (Deutsch oder Englisch) mit dem Branding und den rechtlichen Links (Impressum/Datenschutz/AGB) der Instanz.
- Rate-Limit: Das Anfordern ist pro IP-Adresse begrenzt (Standard 60/Minute).
- Audit-Log: Ein abgeschlossener Reset wird als Passwortänderung protokolliert.
- Admin-Weg: Alternativ kann ein Administrator in der Benutzerverwaltung direkt ein Passwort setzen oder einen Reset-Link an die hinterlegte Adresse senden.
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Anmelden
- Profil verwalten: Passwort im angemeldeten Zustand ändern
- 2FA einrichten
- Benutzer & Rollen: Admin setzt Passwort / sendet Reset-Link