Les meilleures pratiques pour la réinitialisation oublié les mots de passe utilisateur

Autant que je puisse en penser, il y a deux façons raisonnables pour réinitialiser un mot de passe oublié.

  1. Avoir à l'utilisateur d'entrer son adresse email et un nouveau mot de passe en clair est envoyé à leur adresse électronique.

  2. Un lien est envoyé à leur adresse e-mail qui a un numéro d'UID dans l'URL. En cliquant sur ce dirige l'utilisateur vers un formulaire sur le site web, où ils peuvent choisir leur propre nouveau mot de passe.

La méthode est préférable, et pourquoi?

Si la méthode 1 est utilisé, peut-être un tiers pourrait lire l'e-mail et obtenir un nouveau mot de passe.
Si la méthode 2 est utilisée, ce qui est d'empêcher quelqu'un de manière méthodique, en passant par UID codes à essayer et accéder au formulaire de modification d'un utilisateur mot de passe?

InformationsquelleAutor Lars | 2013-04-15