Web应用程序 – 现代Web应用程序中密码检索的有效技术

通过电子邮件发送密码重置链接是首选的方法，原因如下：

>支持成本 – 从业务角度来看，这是最大的因素。用户经常忘记密码提示或使用假邮件地址或忘记用户名。所有这些都是您可以获得支持请求的合法问题。这反过来又创造了另一个问题，您必须通过向他们询问最近的帐户活动以及没有建立用户的合法性。如果你不提供这个级别的支持，很多新手的用户将会失望。通过电子邮件发送密码重置链接可以减轻这些担忧，因为用户通常会有一个或两个电子邮件地址，他们可以通过提供他们的电子邮件地址轻松恢复用户名/密码。>安全问题 – 从技术角度来看，这是最大的因素。这里有各种各样的问题需要衡量。受损的电子邮件帐户意味着黑客可以访问所有用户的服务，允许通过电子邮件发送密码重置链接。您可以通过电子邮件将密码重置链接发送给用户，然后再向用户发出密码提示问题，然后允许他们重置密码。再次，你不应该在任何媒体上暴露用户的密码。事实上，如果您有能力向他们显示密码，那么您的系统已经不安全，因为它意味着您不会使用像SHA-1这样的安全哈希存储他们，并且您公司的开发人员可以获得所有人的密码。>可用性 – 从用户角度来看，这是最大的因素。发送密码重置链接要求用户去查看他们的电子邮件地址，这意味着实现任务的时间可以达到2甚至3分钟。不过，我认为这不算什么大事。大多数用户似乎并不介意这一点，因为他们认为他们是错误的，这是一个安全措施的最佳利益。我只是假设个人经验，用户一般可能会有所不同。我将安全性作为比用户体验更高的优先级，因为用户很少需要检索他们的密码(用户长时间没有登录，忘记了他的密码;用户已经在重新安装的浏览器中保存了密码，一些其他边缘案例)。