Un gruppo nella mia azienda sta implementando un'API REST single-sign-on per le nostre applicazioni. Questo servizio di autenticazione ha una funzione di reimpostazione della password. L'applicazione invia il nome utente alla funzione di ripristino. Se tale nome utente è associato a un indirizzo email, viene inviata un'email a quell'indirizzo con una password temporanea.Reimpostazione della password tramite e-mail delle password temporanee
L'altro approccio sembra essere siti che inviano tramite posta elettronica un collegamento temporaneo e sicuro che presenta una pagina per l'utente che inserisce una nuova password. Questa pagina esiste solo per un breve periodo di tempo.
So che l'e-mail non è un protocollo sicuro, quindi le persone potrebbero annusare il traffico e recuperare la password temporanea o il collegamento temporaneo.
Ci sono motivi di sicurezza significativi per preferire un metodo rispetto all'altro? C'è un altro modo più sicuro per farlo?
È piuttosto banale rilevare qualcuno che utilizza una password temporanea e obbligarlo a modificarlo prima di procedere. – ceejayoz