Они - "администраторские доли" и обычно скрыты, если Вы просматриваете \computer с помощью Windows Explorer или большинства других средств просмотра.
Отправка им утерянного пароля подразумевает, что вы храните их в виде обычного текста или зашифровываете с помощью двустороннего шифрования, что небезопасно.
Я бы предложил использовать механизм Wordpress для сброса пароля :
Многие пользователи используют один и тот же пароль на многих веб-сайтах. Чтобы уважать конфиденциальность людей, рекомендуется всегда хранить пароли в одностороннем зашифрованном виде с помощью хэш-функций, таких как SHA-256 или MD5. Но вы не должны использовать их без дополнительной соли, поскольку словарные атаки могут быть просто выполнены на этих паролях. Забота о конфиденциальности пользователей формирует основу доверительных отношений между вами и вашими клиентами.
Я также рекомендую механизм сброса пароля, упомянутый Эймантесом. Письмо с подтверждением является основной задачей в этом процессе. Всегда позволяйте пользователю подтверждать свой запрос на сброс пароля, чтобы избежать ложных запросов, ведущих к недоступности учетной записи.
Вместо вычисления случайного пароля вы можете перенаправить пользователя на страницу, где он может ввести новый пароль.
Также имейте в виду, что отправка паролей через http без ssl очень небезопасна, особенно в общедоступных сетях, таких как точки доступа wlan. Обратите внимание на такие методы аутентификации сообщений, как HMAC в сочетании с Diffie-Hellman-Key-Exchange. Или, по крайней мере, используйте дополнительную хеш-функцию + соль при входе в систему.
Сброс пароля более безопасен, так как третья сторона может перехватить отправленный по почте пароль.
Редактировать: Под сбросом, я полагаю, вы имеете в виду общий шаблон отправки пользователю токена который позволяет пользователю определить новый пароль. Очевидно, что если вы просто сгенерируете новый пароль и отправите его по почте, это будет так же небезопасно, как и просто отправить исходный пароль. Конечно, токен должен использоваться только один раз, иначе он будет ничем не хуже пароля.
Единственный риск здесь заключается в том, что третья сторона перехватит токен и изменит пароль до того, как это сделает пользователь. Это меньший риск, чем отправка пароля, поскольку перехваченный пароль будет полезен, пока используется пароль, а токен будет полезен только один раз,
Вы не должны иметь возможность отправить обратно пароль. Ваш лучший шанс - сгенерировать случайный одноразовый пароль и отправить его на зарегистрированный адрес электронной почты пользователя.
Вы можете использовать контрольные вопросы (например, «ваше первое имя собаки») и другие мистические темы, но я полагают, что пользователи склонны забывать ответы на эти вопросы даже чаще, чем свои пароли, возвращая вас к исходной точке.