Mechanismus zapomenutého hesla

Při obnově zapomenutého hesla se nové, dočasné heslo pošle e-mailem v cleartextu. V případě, že si navzdory doporučení uživatel tohle heslo nezmění, riziko zneužití se zvyšuje. V každém případě není posílání jakéhokoliv hesla v e-mailu good practice.

Řešením by mohl být např. formulář změny hesla zaslaný v e-mailu spolu s dočasným tokenem. Uživatel by si sám přímo zvolil nové heslo a pokud token nevyužije, ten jednoduše expiruje a uživatel si případně vyžádá reset hesla znovu.

Zvážil bych i implementaci 2FA.