Я прочитал этот ответ и нашел комментарий, настаивающий не отправлять пароль по электронной почте:
пароли не могут быть восстановлены по электронной почте, я ненавижу это. Это означает, что мой пароль где-то хранится в виде обычного текста. он должен быть сброшен только.
Это поднимает меня вопрос обработки опции Забыли пароль?
Любой ценой необработанный пароль должен отображаться в любом пользовательском интерфейсе, чтобы пользователь мог его прочитать. Так что бы быть способ справиться с "Забыли пароль"
Ответы:
Хороший дизайн приложения не сможет явно восстановить пароль пользователя. Это связано с тем, что он обычно сохраняется после выполнения какого-либо хэша, который является односторонней операцией.
Лучший способ справиться с утерянным паролем - выполнить сброс, отправив по электронной почте в учетную запись пользователя ссылку со сгенерированным параметром, который идентифицирует это как действительный сброс пароля для рассматриваемой учетной записи. На данный момент они могут установить новый пароль.
Это предполагает, что у вас есть адрес электронной почты пользователя в файле.
источник
Вы не должны хранить основной пароль пользователя в виде открытого текста, но вы МОЖЕТЕ хранить временный пароль в виде открытого текста, т.е.
пользователь сбрасывает пароль -> создается временный пароль -> временный пароль отправляется по электронной почте -> пользователь вынужден сменить пароль при следующем входе в систему (возможно, новый пароль не может быть временным паролем)
источник
Комментарий против отправки оригинального пароля по электронной почте, а не отправки по электронной почте. Если учреждение может отправить оригинальный пароль, значит, он у него есть, и это проблема безопасности. Комментатор не спорил против отправки пароля по электронной почте, потому что в большинстве случаев это в значительной степени необходимо.
Правильный способ - назначить новый пароль, который можно использовать один раз по любой причине. Возможно, он уже помечен как истекший системой, возможно, он просто заходит на страницу, чтобы изменить пароль, который динамически генерируется один раз и только один раз, что угодно.
источник
Что мне больше всего нравится, так это то, что приложение отправляет электронное письмо пользователю по зарегистрированному адресу электронной почты с одноразовой ссылкой, действующей в течение X часов, которая предоставляет страницу «Изменить пароль».
Затем пользователь может установить пароль по своему усмотрению, не рискуя вставить его в электронное письмо.
источник
У моего провайдера кредитных карт есть опция «забытый пароль», которая задает вам несколько вопросов безопасности (сам по себе это не очень надежно, но многие банки делают это), а затем генерирует новый код и дает вам половину на экране и отправляет вторую половину по электронной почте вы. Таким образом, вы не сможете взломать аккаунт без доступа к веб-странице и адресу электронной почты.
Я спросил немного об этом с точки зрения удобства использования некоторое время назад.
источник