Sono in difficoltà con la funzione di reimpostazione della password di un'app Web, il modo in cui sono propenso a farlo è l'invio di un URL basato su token alla e-mail dell'utente e l'utente può accedere e reimpostare la sua password, ma la posta elettronica è un modo affidabile per trasportare dati così sensibili?
"è l'e-mail un modo affidabile per trasportare dati così sensibili" No.
Molti siti Web lo fanno? Sì.
Il vantaggio è di rendere il collegamento utilizzabile una sola volta e richiede all'utente di scegliere immediatamente una nuova password. In questo modo, se un utente malintenzionato intercetta l'e-mail e lo utilizza per dirottare l'account, quando l'utente legittimo fa clic sul collegamento in un secondo momento, riceverà un messaggio di errore e saprà che qualcosa non funziona. Come accennato da @Xander, questo è tutt'altro che ideale, ma almeno è qualcosa.
Se desideri una maggiore sicurezza, pensa di aggiungere un secondo fattore allo strumento di reimpostazione della password, ad esempio l'invio di un codice per l'SMS dell'utente o "dov'era nata tua madre?" digita le domande di sicurezza o uno degli altri metodi standard di secondo fattore (dovrebbe essere in grado di ottenere una buona lista da Google).
Leggi altre domande sui tag email password-management