「パスワードを忘れた」-これを処理する方法

私はこの答えを読んで、パスワードをメールで送信しないことを主張するコメントを見つけました：

パスワードをメールで取得できないようにする必要があります。これは、パスワードがどこかにプレーンテキストで保存されていることを意味します。リセットのみが必要です。

これにより、[パスワードを忘れた場合]オプションを処理する問題が生じます。

ユーザーがそれを読むことができるように、どんなUIでも生のパスワードを表示する必要があります。「パスワードを忘れた」を処理する方法は何でしょうか

適切なアプリケーション設計では、ユーザーのパスワードを明示的に回復することはできません。これは、通常、ある種のハッシュ（一方向の操作）を実行した後に保存されるためです。

紛失したパスワードを処理する最良の方法は、リセットを実行し、ユーザーアカウントに、生成されたパラメーターが付加されたリンクを電子メールで送信することです。この時点で、新しいパスワードを設定できます。

これは、ファイルにユーザーのメールアドレスがあることを前提としています。

ユーザーのメインパスワードをプレーンテキストとして保存するべきではありませんが、一時的なパスワードをプレーンテキストとして保存できます。

ユーザーがパスワードをリセットします->一時パスワードが作成されます->一時パスワードがメールで送信されます->ユーザーは次回ログイン時にパスワードの変更を強制されます（新しいパスワードは一時パスワードにはなりません）

コメントは元のパスワードをメールで送信することに対するものであり、メールで送信するものではありません。機関が元のパスワードを送信できる場合、それは彼らがそれを持っていることを意味し、それはセキュリティ上の問題です。コメンターは、ほとんどの場合、パスワードをメールで送信することをほとんど必要としないので、それを主張していませんでした。

適切な方法は、何らかの理由で1回使用できる新しいパスワードを割り当てることです。おそらく、システムによってすでに期限切れとマークされているのかもしれません。おそらく、ページにログインするだけで、動的に生成されるパスワードを1回だけ変更します。

私が最も気に入っているのは、アプリケーションが「パスワードの変更」ページを提供するX時間有効な1回限りのリンクを使用して、登録済みのメールアドレスでユーザーにメールを送信することです。

ユーザーはパスワードを電子メールに入力することなく、好きなように設定できます。

私のクレジットカードプロバイダーには、「パスワードを忘れた」というオプションがあり、セキュリティに関する質問（これ自体は非常に安全ではありませんが、多くの銀行が行います）を求め、新しいコードを生成して画面に半分を表示し、後半にメールを送信します君は。そうすれば、ウェブページとメールアドレスの両方にアクセスせずにアカウントを破ることはできません。

私は少し前にユーザビリティの観点からこれについて少し尋ねました。