据我所知,有两种合理的方法可以重置用户忘记的密码。
哪种方法更可取,为什么?
如果使用方法1,则第三方可能会阅读电子邮件并获取新密码。如果使用方法2,什么是阻止某人有条不紊地通过UID代码尝试访问表单来更改用户的密码?
最好的模式是:
它可能更安全,但我认为这已经相当不错......
OWASP有一个很好的https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet清单
以下是步骤的快速摘要:
通过询问验证问题来验证发件人是否是真实用户。
不要在不在规划员工列表中的个人电子邮件上发送密码。
不要在电子邮件的标题或正文中添加“密码”一词。
请务必单独发送用户名和密码。
对于Office 365用户,请将其指向忘记密码区域或发送此链接https://passwordreset.microsoftonline.com
不要被用户吓倒,如果需要,请升级到IT经理。