Забыли пароль: как лучше всего реализовать функцию забытого пароля?

Несколько важных вопросов password безопасности:

• Вопрос / ответ с парольной фразой фактически снижает безопасность, поскольку обычно становится самым слабым звеном в процессе. Часто легче угадать чей-то ответ, чем пароль, особенно если вопросы не были тщательно подобраны.
• Предполагая, что электронные письма работают как имя пользователя в вашей системе (что обычно рекомендуется по ряду причин), ответ на запрос сброса пароля не должен указывать, была ли найдена действительная учетная запись. Он должен просто указать, что электронное письмо с запросом пароля было отправлено на указанный адрес. Почему? Ответ, указывающий на то, что электронное письмо существует / не существует, позволяет хакеру собрать список учетных записей пользователей, отправив несколько запросов пароля (обычно через HTTP-прокси, например, burp suite), и отметив, найдено ли электронное письмо. Для защиты от сбора данных для входа в систему вы должны убедиться, что никакие функции, связанные с входом / аутентификацией, не указывают, когда действующий адрес электронной почты пользователя был введен в форму сброса входа / пароля.

Дополнительные client-authentication сведения см. в Web Application Hackers Handbook. Это отличное logon руководство по созданию безопасных change-password моделей аутентификации.

РЕДАКТИРОВАТЬ. Что change-password касается вопроса в вашей password редакции, я бы предложил:

"Письмо auth с запросом пароля отправлено отправлено password на указанный вами адрес. Если письмо passwords не приходит в ближайшее время, пожалуйста, проверьте authenticate папку со спамом. Если нет электронное authentication письмо приходит, значит, учетной user-authentication записи нет с помощью предоставленного change-password вами адреса электронной почты authenticate "

Здесь нужно искать password компромисс между простотой passwords использования и безопасностью. Вы client-authentication должны сбалансировать это authenticate в зависимости от контекста login - достаточно ли важна безопасность auth для вас и ваших пользователей, чтобы authentication оправдать это неудобство?