Một nhóm trong công ty của tôi đang triển khai API REST đăng nhập một lần cho các ứng dụng của chúng tôi. Dịch vụ xác thực này có chức năng đặt lại mật khẩu. Ứng dụng sẽ gửi tên người dùng đến hàm reset. Nếu tên người dùng đó được liên kết với địa chỉ email thì email được gửi đến địa chỉ đó bằng mật khẩu tạm thời.Đặt lại mật khẩu bằng cách gửi email mật khẩu tạm thời
Cách tiếp cận khác dường như là các trang web gửi email liên kết bảo mật, tạm thời trình bày trang để người dùng nhập mật khẩu mới. Trang này chỉ tồn tại trong một khoảng thời gian ngắn.
Tôi biết rằng email không phải là giao thức bảo mật, vì vậy mọi người có thể đánh cắp lưu lượng truy cập và khôi phục mật khẩu tạm thời hoặc liên kết tạm thời.
Có bất kỳ lý do bảo mật quan trọng nào để thích phương pháp này hơn phương pháp khác không? Có cách nào khác, an toàn hơn để thực hiện việc này không?
Khá tầm thường để phát hiện ai đó sử dụng mật khẩu tạm thời và buộc họ thay đổi mật khẩu trước khi tiếp tục. – ceejayoz