mi sono imbattuto in questo statementPerché "Password dimenticata" è cattiva?
Non usare "password dimenticata" funzionalità. Ma se è necessario, assicurati che fornisca solo le informazioni all'utente effettivo, ad es. utilizzando un indirizzo email o una domanda di prova che l'utente legittimo già fornito in passato; non consentire all'utente corrente di modificare le informazioni sull'identità finché non è stata fornita la password corretta .
Qualcuno può chiarire perché le password dimenticate sono un rischio? Ho intenzione di gestirlo inviando all'utente un link nella sua e-mail per reimpostare la password, ma non fornirà loro la vecchia password (dal momento che è comunque hash), e non chiederà loro la vecchia password al momento del ripristino. C'è qualcosa di rischioso nel mio approccio?
Utente: "Ho dimenticato la password!". Server: "Ok, puoi cambiarlo. Qual era la vecchia password?" Utente: "...";) – Gordon
Meglio correlato a http://stackoverflow.com/questions/522967/forgot-password-what-is-the-best-method-of-implementing-a-forgot-password-functi – Gordon
È possibile verificare la sicurezza utilizzata nei siti Web "in denaro", come Western Union, PayPal, eBay e simili. Se fanno qualcosa devono essere abbastanza buoni :) e fanno quello che vuoi fare. – helios