Quando sto implementando la funzionalità di reimpostazione della password di solito non includo messaggi informativi sul fatto che sia stato trovato un utente, perché ho sempre creduto che possa portare all'enumerazione del nome utente. Quindi, invece di mostrare:
Account with email "[email protected]" not found.
mostra un messaggio ambiguo come:
Please check your email for instructions on how to reset your password.
indipendentemente dal fatto che un account sia stato trovato o meno.
Questo è eccessivo o una buona pratica?