Лучше изменить пароль или передать потерянный пароль обратно?

Отправка им утерянного пароля подразумевает, что вы храните их в виде обычного текста или зашифровываете с помощью двустороннего шифрования, что небезопасно.

Я бы предложил использовать механизм Wordpress для сброса пароля :

1. Отправить ссылку с подтверждением сброс пароля
2. Перейдите по ссылке подтверждения на страницу который генерирует случайный пароль и отправьте его пользователю
3. . Разрешить пользователю войти с новым паролем и поменять на что-то лучше запоминание.

Многие пользователи используют один и тот же пароль на многих веб-сайтах. Чтобы уважать конфиденциальность людей, рекомендуется всегда хранить пароли в одностороннем зашифрованном виде с помощью хэш-функций, таких как SHA-256 или MD5. Но вы не должны использовать их без дополнительной соли, поскольку словарные атаки могут быть просто выполнены на этих паролях. Забота о конфиденциальности пользователей формирует основу доверительных отношений между вами и вашими клиентами.

Я также рекомендую механизм сброса пароля, упомянутый Эймантесом. Письмо с подтверждением является основной задачей в этом процессе. Всегда позволяйте пользователю подтверждать свой запрос на сброс пароля, чтобы избежать ложных запросов, ведущих к недоступности учетной записи.

Вместо вычисления случайного пароля вы можете перенаправить пользователя на страницу, где он может ввести новый пароль.

Также имейте в виду, что отправка паролей через http без ssl очень небезопасна, особенно в общедоступных сетях, таких как точки доступа wlan. Обратите внимание на такие методы аутентификации сообщений, как HMAC в сочетании с Diffie-Hellman-Key-Exchange. Или, по крайней мере, используйте дополнительную хеш-функцию + соль при входе в систему.

Сброс пароля более безопасен, так как третья сторона может перехватить отправленный по почте пароль.

Редактировать: Под сбросом, я полагаю, вы имеете в виду общий шаблон отправки пользователю токена который позволяет пользователю определить новый пароль. Очевидно, что если вы просто сгенерируете новый пароль и отправите его по почте, это будет так же небезопасно, как и просто отправить исходный пароль. Конечно, токен должен использоваться только один раз, иначе он будет ничем не хуже пароля.

Единственный риск здесь заключается в том, что третья сторона перехватит токен и изменит пароль до того, как это сделает пользователь. Это меньший риск, чем отправка пароля, поскольку перехваченный пароль будет полезен, пока используется пароль, а токен будет полезен только один раз,

Вы не должны иметь возможность отправить обратно пароль. Ваш лучший шанс - сгенерировать случайный одноразовый пароль и отправить его на зарегистрированный адрес электронной почты пользователя.

Вы можете использовать контрольные вопросы (например, «ваше первое имя собаки») и другие мистические темы, но я полагают, что пользователи склонны забывать ответы на эти вопросы даже чаще, чем свои пароли, возвращая вас к исходной точке.