Ben bu statement geldi
Do not use "forgotten password" functionality. But if you must, ensure that you are only providing information to the actual user, e.g. by using an email address or challenge question that the legitimate user already provided in the past; do not allow the current user to change this identity information until the correct password has been provided.
Unutulan şifreleri risk neden kimse açıklamak miyim? Ben şifrenizi sıfırlamak için kendi e-posta kullanıcı bir bağlantı göndererek ele planlıyoruz, ama (yine de karma beri) eski şifre ile onları vermez, ve sıfırlama zaman eski şifre isteyin olmaz. Benim yaklaşım konusunda riskli bir şey var mı?