Quando un utente dimentica la propria password, è preferibile reimpostare la password e inviarla via e-mail all'utente o semplicemente inviare per e-mail la password corrente all'indirizzo e-mail dell'utente.
Quando un utente dimentica la propria password, è preferibile reimpostare la password e inviarla via e-mail all'utente o semplicemente inviare per e-mail la password corrente all'indirizzo e-mail dell'utente.
Non dovresti mai essere in grado di inviare a un utente la propria password. Tutte le password devono essere archiviate in un formato hash, con una funzione hash sufficientemente buona che il recupero della password originale non è calcolabile.
Come per il reset della password, dipende dall'applicazione. Se si tratta di un'applicazione web, invia un link di reset della password utilizzabile una tantum e limitato nel tempo e chiedi all'utente di darti una nuova password. Se non è un'applicazione web, diventa un po 'più complicata.
non è mai una buona pratica condividere la password attuale. È meglio ripristinarlo con la password temporanea e chiedere all'utente di generarne uno nuovo con il suo aiuto. Questa è la migliore pratica che viene seguita la ragione è se si invia la password via mail o sms e in caso di hack di account ecc. Sarà un problema più grande dato che gli utenti normalmente usano la stessa password in più posti.