Hallo,
es gibt gerade einen gleichlautenden Thread im Debianforum:
http://debianforum.de/forum/viewtopic.php?f=14&t=95063&start=0
Soweit ich mich erinnern kann wird hier in der Aktivierungsmail auch das Passwort im Klartext mit übertragen. Jedenfalls habe ich meine Begrüßungsmail gelöscht, was ich normalerweise nur mache, wenn sie sensible Daten enthält.
Bei den Debianern herrscht die Meinung vor, dass man dies aus Sicherheitsgründen ändern sollte, auch wenn man sich über die Details noch nicht einig ist. Ich teile die dort vertretene Meinung.
Im Wesentlichen stehen drei Alternativen zur Verfügung:
1. Das selbstgewählte Passwort aus der Begrüßungsmail entfernen.
2. Das selbstgewählte Passwort mitschicken, aber nach der ersten Anmeldung eine Zwangsänderung vornehmen.
3. Bei der Registrierung ein Passwort automatisch generieren, dieses mitschicken, und nach der Anmeldung eine Zwangsänderung vornehmen.
2. halte ich für unsinnig, 1. und 3. sind für mich gleichrangig, wobei 1. einfacher umzusetzen ist.
Wie steht ihr dazu?