认证 – 忘记密码:什么是实现忘记密码功能的最佳方法?

我想知道什么最好的方法是在网站上创建一个忘记密码功能。我已经看过很多,在这里有几个或组合:

>密码问题/答案(1或更多)
>使用新密码发送电子邮件
>屏幕上给出新密码
>通过电子邮件确认:必须点击链接才能获得新密码
>页面,要求用户输入新密码

您将向忘记密码功能添加什么组合或附加步骤?我想知道他们如何请求新的密码,以及他们如何得到它。

我操作的原则,密码无法检索;必须给出/生成新的密码。

编辑我喜欢Cory说如果用户名不存在就不显示,但我想知道要显示什么。我想一半的问题是,用户忘记了他们使用哪个电子邮件地址,显示某种“不存在”消息是有用的。任何解决方案?

最佳答案
>我个人会发送一封电子邮件,其中包含一个短期页面的链接,让他们设置新的密码。使页面名称为某种UID。
>如果这不吸引你,然后向他们发送一个新密码,强迫他们在第一次访问时更改密码。

选项1要容易得多。

转载注明原文:认证 – 忘记密码:什么是实现忘记密码功能的最佳方法? - 代码日志