"Человек забыл пароль" Сделать функционал восстановление пароля. Человек вводит свой емейл и высылается пароль на емейл. На сколько опасный такой способ восстановления пароля ? Просто он прост в реализации...
человек не должен забывать пароль. если человек забыл пароль (или был взломан) на непочтовом ресурсе - кто вам сказал что с почтой у него все хорошо? забыл пароль - ввел почту и получил временный пароль. отличная быстрая система и простая в реализации. на этом и остановитесь. не нужно наворачивать сложностей в том месте где эти сложности не нужны. не несите ответственность за дурдом в голове посетителей.
Ganzal, ввёл почту другого юзера, другой юзер получил новый пароль. Если ввёл 100 раз, то другой юзер получит 100 новых паролей. А если вводить будет бот? Или как, "ввел почту и получил временный пароль" тут же не отходя от кассы?
да, 100 раз получил. вообще мой коммент нацелен на то чтоб не городили формы "как вас тут у нас звать? какой имейл при регистрации? дату регистрации помните? кодовое слово? девичья фамилия папы? как звали кошку до того как обнаружили что это кот?". почта и все тут. логин? да он ведь и так известен на большинстве ресурсов. так что как реквизит безопасности уже не катит. и я не говорил что не нужно защищать форму от ботов. ваще идеальный вариант для почтовых систем. Добавлено спустя 4 минуты 21 секунду: и пароль не храним у себя. только хеш. меня в свое время удивил провайдер один. спросил все возможные данные для того чтоб удостовериться что я есть я. и потом прислал мне мой же пароль обычным письмом. только временный пароль. который пользователь может поменять. почему может? потому что спасение утопающего... сами знаете. кому надо - пользуется менеджерами паролей с указанием срока действия пароля. регулярно меняет пароли на ресурсах и использует то что генерирует программа - произвольный пароль с хорошей (не бывает идеального) стойкостью. это ведь то же не гарантирует безопасности. но это в разы безопаснее чем один пароль на 60000 ресурсов.