Ho notato che Facebook invia un codice "Password dimenticata" di sei cifre, che è molto breve per un codice di convalida, quindi presumo che stiano facendo quanto segue:
- Imposta una variabile di sessione che è collegata al codice in modo che nessun altro client possa utilizzare lo stesso codice
- Forse anche, imposta il numero massimo di tentativi di inserimento del codice corretto
Ho due domande:
- Il precedente è il modo migliore per fare i link "Password dimenticata"?
- È un'alternativa non impostare una variabile di sessione né limitare i tentativi, ma semplicemente aumentare la lunghezza del codice in modo che la forza bruta diventi impossibile? Quanto tempo dovrebbe essere questo codice, quindi? O questo è considerato molto insicuro?
EDIT: il codice Facebook è facoltativamente inviato al tuo cellulare per essere inserito manualmente sul tuo computer, che deve essere il motivo per cui scelgono di tenerlo breve.