Quên mật khẩu - Làm thế nào để xử lý việc này?

Tôi đọc câu trả lời này và thấy một bình luận khăng khăng không gửi mật khẩu qua email:

mật khẩu không thể được lấy qua email, tôi ghét điều đó. Nó có nghĩa là mật khẩu của tôi được lưu trữ trong văn bản đơn giản ở đâu đó. nó chỉ nên được thiết lập lại

Điều này đặt ra cho tôi câu hỏi về việc xử lý tùy chọn Quên mật khẩu?

Bằng mọi giá, mật khẩu thô phải được hiển thị trong bất kỳ giao diện người dùng nào để người dùng có thể đọc được. Vậy đâu là cách để xử lý "Quên mật khẩu"

Một thiết kế ứng dụng tốt sẽ không thể khôi phục mật khẩu người dùng một cách rõ ràng. Điều này là do nó thường được lưu trữ sau khi nó được chạy qua một số loại băm là hoạt động một chiều.

Cách tốt nhất để xử lý mật khẩu bị mất là thực hiện đặt lại, gửi email đến tài khoản người dùng một liên kết với tham số được tạo để xác định đây là mật khẩu đặt lại hợp lệ cho tài khoản được đề cập. Tại thời điểm này, họ có thể thiết lập một mật khẩu mới.

Điều này không giả sử bạn có một địa chỉ email người dùng trong hồ sơ.

Bạn không nên lưu trữ mật khẩu chính của người dùng dưới dạng bản rõ, nhưng bạn CÓ THỂ lưu trữ mật khẩu tạm thời dưới dạng bản rõ, tức là

người dùng đặt lại mật khẩu -> mật khẩu tạm thời được tạo -> mật khẩu tạm thời được gửi qua email -> người dùng buộc phải thay đổi mật khẩu ở lần đăng nhập tiếp theo (có thể mật khẩu mới không thể là mật khẩu tạm thời)

Nhận xét chống lại việc gửi mật khẩu gốc trong email, không gửi bất cứ điều gì trong email. Nếu tổ chức có thể gửi mật khẩu gốc, điều đó có nghĩa là họ có mật khẩu và đó là một vấn đề bảo mật. Người bình luận đã không tranh cãi về việc gửi mật khẩu qua email, bởi vì điều đó khá cần thiết trong hầu hết các trường hợp.

Cách thích hợp là gán một mật khẩu mới có thể sử dụng được một lần, vì bất kỳ lý do gì. Có lẽ nó đã được hệ thống đánh dấu hết hạn, có lẽ nó chỉ đăng nhập vào một trang để thay đổi mật khẩu được tạo động một lần và chỉ một lần, bất cứ điều gì.

Điều tôi thích nhất là ứng dụng gửi email cho người dùng trên địa chỉ email đã đăng ký với liên kết một lần có hiệu lực trong X giờ cung cấp trang "Thay đổi mật khẩu".

Sau đó, người dùng có thể đặt mật khẩu theo ý muốn mà không gặp rủi ro khi đặt nó vào email.

Nhà cung cấp thẻ tín dụng của tôi có tùy chọn "quên mật khẩu" hỏi bạn một số câu hỏi bảo mật (bản thân nó không an toàn lắm nhưng rất nhiều ngân hàng làm điều đó) và sau đó tạo mã mới và cung cấp cho bạn một nửa trên màn hình và gửi email cho nửa sau bạn. Bằng cách đó, bạn không thể phá tài khoản mà không truy cập vào cả trang web và địa chỉ email.

Tôi đã hỏi một chút về điều này từ góc độ khả năng sử dụng một thời gian trước.