Se un utente può richiedere una e-mail di reimpostazione della password e quindi accedere (ad esempio ignorando l'e-mail di ripristino e utilizzando la password esistente) o l'account corrente deve essere bloccato fino a quando la password non viene ripristinata?
Se disabilitassi l'account potrei vedere questo essere abusato da una terza parte (cioè richiedere una reimpostazione della password per un account non proprio) e rendere più difficile l'accesso da parte dell'utente reale.
Pensieri?