No creo que haya un mejor camino para esto. Depende de la seguridad y la sensibilidad de la información protegida por la contraseña. Mis recomendaciones:
Baja seguridad, bajo riesgo (por ejemplo, una base de datos de recetas o un tablero de mensajes):
- Permitir al usuario recuperar la contraseña en la sesión a través de la verificación de una sola pieza de información adicional (por ejemplo, preguntas de seguridad multifactoriales)
- envíe la contraseña a la dirección de correo electrónico (o envíe un mensaje de texto al número de teléfono) asociada con la cuenta
Alta seguridad, alto riesgo (cualquier cosa con PII, como banca o atención médica):
- ¿Tienes que ser un programador para entrar en la seguridad de la información?
- ¿Cómo puede un joven de 15 años iniciar una empresa de ciberseguridad?
- ¿Cuál debería ser mi hoja de ruta para los próximos 3 años para comenzar con la seguridad cibernética (3 años antes de que termine la universidad, estudiar ECE)?
- Qué tipo de cosas deberían tener los departamentos de seguridad de la información. poner en un tablero que muestran a la administración de negocios que no es de TI?
- ¿Cuál es el hardware / software más seguro para generar un par de claves pública / privada?
- envíe por correo electrónico un enlace de restablecimiento de contraseña (no la contraseña en sí) a la dirección de correo electrónico en el archivo, con una explicación clara de que alguien de una dirección IP registrada lo solicitó, y las acciones que el usuario debe tomar si esta no era su intención.
- requiere hablar con un humano, por teléfono o chat seguro
- requieren verificación de múltiples factores de información adicional (pares secretos Q / A elegidos por el usuario)
- Permitir múltiples canales de verificación de recuperación de contraseña, incluido el teléfono de texto o TTS (Chase hace esto)