Ho avuto questa idea, che invece di generare un token di reimpostazione della password e inviarlo via e-mail all'utente, ho semplicemente inviato via email la password con hash dell'utente. Quindi, al ripristino, l'utente invierà la vecchia password con hash e la nuova password in formato testo. Il server confronta la password hash inoltrata e la password hash memorizzata e, se corrispondono, ripristina.
Questo potrebbe avere alcuni vantaggi, tra cui nessuna scadenza sull'email di ripristino e nessuna necessità di memorizzare / scadere i token di ripristino.
Che tipo di implicazioni di sicurezza negative avrebbe questo?