不足しているアカウントのパスワードリセットの動作が最適

Question

ユーザーが存在しない電子メールのパスワードリセットを要求したときの最善の動作は何ですか？

コンテキスト：ユーザーはログインしていません。メールを入力してリセットボタンを押すだけです。

1. リセットを要求するユーザーにアカウントが存在しないとすぐに伝えると、セキュリティホールとプライバシーの問題の両方が発生します。
2. 私は何もせず、罪のないミス（アカウントを持っていると思っていた）なら、彼らは何が起こったのか不思議に思うでしょう。ほとんどの謎のオプション、少なくとも虐待の対象となります。
3. パスワードリセットがリクエストされていますがアカウントがないというメールを送信できます（また、無視されるはずです）。これは最も有害ではないようですが、少し乱用されます。

更新：彼らは単に同じ電子メールを使用/サインアップしようとすることで、同じ情報を得ることができますので、さらに検討では、私は本当にそうかは大したことはありませんが...ない限り、私は個人的に...

Answer 1

何かが欠けている、私はのファンです：

• ユーザーが電子メールを入力します。
• 電子メールが存在するかどうか、要求されたと言いますが、まもなく電子メールが届かない場合は、もう一度やり直してください。
• パスワード要求が送信されたことを通知し、ユーザーでない場合は電子メールを無視します。

また、

• あなたは電子メールをあなたのサイトをスクレイピングボット心配している場合は、キャプチャを追加します。
• アカウントのハッキングを心配している場合は、秘密の質問の回答を促す2番目のレイヤーを追加します。

Answer 2

私の意見では、第3の選択肢は、ユーザーフレンドリー性とセキュリティの間の最善の妥協点です。オプション1はプライバシーの問題が大きいようです。オプション2を使用すると、ユーザーはアカウントを持っているかどうかを知ることができませんが、別のメールアドレスに登録されているか、リセットシステムが動作しない場合は、

Answer 3

私は個人的にこの道を行くだろう：

1. ユーザーは、電子メールアドレスを入力します。
2. 画面には「要求が処理される、電子メールが送信された」などのメッセージが表示されます。
3. この電子メールアドレスにリンクされているアカウントがない場合：メールを送信しないで、要請している人には通知しないでください。
4. この電子メールにリンクされているアカウントがある場合：通常の「このメールを無視したのではない場合、虐待が疑われる場合は$ foobarに連絡してください」というメッセージを含めてリセット電子メールを送信してください。

私はアカウントにこの電子メールアドレス：個人情報がリンクされているかどうかは誰にも知らせません。みんなに言ったら、$人が$ serviceを使っているかどうか誰もが確認できます。

私はそのようなユーザーがいない場合、私はメールを送信しない理由を含めるだろう：なぜ私は？ユーザーは、彼が使用した電子メールアドレスを知っているか、または一度にいくつかの電子メールアドレスを試している（または短い時間だけ待つ）でしょう。もちろん、それらのメールを送信する場合はユーザーフレンドリーなケースがありますが、悪用の可能性を否定するほど重要ではありません。 1つのウェブサイトだけがそのようなことをしている場合（短い時間間隔で複数のメールを送信しない限り）、すべてのウェブサービスがこのように進むと想像してください。これらのサービスのいくつかを収集してから、スパムフィルタを使わずに誰かの「嫌いな人」にemailbombする必要があります。

Answer 4

私はこの

• のようなもの、そのメールアドレスまたはユーザ名が存在する場合、リセットパスワードを使用して、人にすべての電子メールを送信し、ユーザ名または電子メール
• を依頼をするでしょう。

完成品：