Bene, parte della procedura potrebbe essere considerata non sicura: quando un utente ha accesso al proprio account di posta elettronica E sa quali siti web si possono avere account registrati (come FaceBook, Twitter, Google e il lotto). Questo è probabilmente il problema di sicurezza più semplice e più ovvio che potrebbe sorgere qui.
Potremmo anche dare un'occhiata alle domande "l'e-mail può essere intercettata in qualsiasi modo" e "è quel link di recupero usando una chiave strong, casuale o qualcuno potrebbe indovinarlo" ... ma immagino che sia eccessivo. Per il normale scenario di recupero della password che hai descritto, direi che l'unico vero "problema di sicurezza" è quello che ho descritto sopra: qualcuno ha accesso alla tua email e sa quali siti controllare e recuperare le tue password.
Per quanto riguarda il danno che potrebbe essere causato ... dipende da quali siti Web "intruso" è in grado di recuperare le password per. Probabilmente non ti dispiacerà perdere il tuo account Twitter nel peggiore dei casi, ma questo dimostra perché gli account di banking online non offrono quel tipo di "recupero della password" in primo luogo. Lì "potrebbe" esserci la possibilità che qualcuno ti guardi alle spalle.
Avvolgendolo offrendoti un solido suggerimento su cui lavorare: se MyApp.com è qualcosa che potrebbe rovinare finanziariamente le persone quando sono messe nelle mani sbagliate, non usare questo tipo di recupero della password ... ma se Stai creando il prossimo Facebook o Twitter, sei a posto con questa procedura di recupero.
Spero che questo aiuti. ;)