Mechanismus zapomenutého hesla
Při obnově zapomenutého hesla se nové, dočasné heslo pošle e-mailem v cleartextu. V případě, že si navzdory doporučení uživatel tohle heslo nezmění, riziko zneužití se zvyšuje. V každém případě není posílání jakéhokoliv hesla v e-mailu good practice.
Řešením by mohl být např. formulář změny hesla zaslaný v e-mailu spolu s dočasným tokenem. Uživatel by si sám přímo zvolil nové heslo a pokud token nevyužije, ten jednoduše expiruje a uživatel si případně vyžádá reset hesla znovu.
Zvážil bych i implementaci 2FA.
| Přidáno | Autor | Stav |
|---|---|---|
| 25. září 7:59 |
 Shift |
Čekající |