Вот собственно интересует реализация данной темки. Хотелось бы узнать про опасности и безопасности различных методов восстановления пароля.
Прошёлся по сайтам посмотрел как у людей сделано с точки зрения безопасности интерфейса пришёл к мнению что нужно запрашивать логин и почтовый адрес можно капчу картинку чтобы не "спамили особо одарённые".
А вот как реализовать сам процесс восстановления??
1. показать прямо человеку в браузере(опасно потому что достаточно знать логин и ящик и есть доступ под пользователем)
2. По правильным набранным данным формочки отослать новый сгенереный пароль на ящик юзеру
(почему данный метод считается опасным и чем собственно отличается от следующего)
3. А вот этот метод тоже не широко применяется но всё же интересно это излишняя безопасность или чтоже это?
после набора данных формы отправки и проверки данных по БД вам на ящик приходит уведомление о смене пароля и предлагается ссылка на восстановление, переходя по ссылке вам НЕ показывают пароль а говорят что типа произошла смена пароля зайдите на свой ящик. вот теперь уже точна произошла смена пароля и на ящик пришёл новый пароль.
4. И собственно интересует почему при восстановлении ГЕНЕРЯТ новый пароль?? а не оставляют старый ?
Собственно кто что может сказать по данной теме(есть ли скриптики готовые у кого
) также необходимо ведь соблюдать условие удобство юзеру / безопасность данных юзера , можно конечно и 10 ссылок делать перенаправляя одну на другую , но это уже ... где он нынче баланс?
