Sto creando un'app mobile in cui la funzione di recupero della password implica l'invio di un codice di recupero password (stringa generata casualmente) all'indirizzo email dell'utente. Ricevono il codice, quindi lo inseriscono nell'app. I servizi web controllano se il codice è valido (questo scade dopo 24 ore) e se lo è, l'app richiede all'utente di aggiornare la propria password.
Vorrei utilizzare un link per la reimpostazione della password, ma non sono bravo a programmare e sto cercando alternative per ora.
In termini di sicurezza, l'invio del codice randomizzato alla posta elettronica dell'utente è tanto grave quanto l'invio della password via e-mail in testo normale? Anche se userò il codice Blowfish per crittografare il codice quando viene memorizzato nel database?
Per chiarire questo si tratta di inviare via email codici / token di recupero password e non di password