访问帐户链接与密码重置流？

Question

这部分是一个安全问题，部分是用户行为的问题。

想象一下，您已经忘记了您不特别关心的帐户的密码。您想重新登录，但不在乎 不足以花时间重置密码。您可以请求登录链接，而不是重置密码。该链接活动15分钟，您可以使用它来访问您的帐户而无需重置密码。

我想知道这种方法的缺点（安全性或其他）是什么。显然，如果用户最终不记得他们的密码，则每次他们想要登录时都需要执行此操作。这听起来不像是IMO的最佳实践，但是我对这会引起任何有形的安全性感到好奇。

如果我的直觉是对的，这是一个坏主意，那么这个过程还有其他选择吗？我的本能是，最好的可行选择是优化此流程，以使用户尽可能无缝，但最终仍需要重置密码。

Answer 1

拟议方法最明显的缺点是基于电子邮件是一项不安全的服务。 这里有一个帖子来解释这。

大多数站点以多种方式将电子邮件的不安全感打击以重置密码：

1. 通知用户密码已更改。
2. 使链接一次使用。
3. 以另一种方式验证用户（例如，他们使用以前登录的计算机，通常登录，密码重置问题等的位置），

并使用您建议的登录链接。如果不好的演员可以拦截电子邮件，他们可以快速轻松地登录用户。直到发生恶意活动之后，用户可能不会注意到这一点。