Best Practice zur Implementierung der Kennwortwiederherstellung
Ich möchte die Kennwortwiederherstellung in meiner Webanwendung implementieren.
Ich möchte geheime Fragen vermeiden.
Ich könnte das Passwort einfach per E-Mail senden, aber ich denke, es wäre riskant.
Möglicherweise könnte ich ein neues temporäres zufälliges Passwort generieren und es per E-Mail senden, aber ich denke, es ist genauso riskant wie der obige Punkt.
Kann ich eine URL per E-Mail senden, zum Beispielhttp: //example.com/token=xxx wobei xxxx ein zufälliges Token ist, das dem Benutzer zugeordnet ist. Wenn der Benutzer zu dieser URL navigiert, kann er das Kennwort zurücksetzen.