Уязвимость при подтверждении пароля

Уязвимость при подтверждении пароля

Пишу систему регистрации пользователей для одного из моих сайтов, и дошел до «напоминания пароля». Если быть точным, то напоминания как такового нет, потому что пароль не хранится в wordpress в открытом виде (доступен хеш пароля).

Уязвимость при подтверждении пароля

Единственной возможностью «напомнить» пароль остается его смена. На подавляющем большинстве сайтов новый пароль можно получить указав адрес электронной почты, на который был зарегистрирован аккаунт, после чего в идеале на него должно прийти письмо с ссылкой внутри, перейдя по которой — получишь новый пароль.

Но некоторые сайты пренебрегают безопасностью, и при вводе e-mail, если такой имеется в их базе, генерируют и присылают на него новый пароль к учетной записи. В принципе пароль злоумышленник никак не получит таким способом, но представьте себе как удивится владелец аккаунта (если он не проверял почту), когда его не пускает сайт? А что если кто-то хочет здорово насолить и будет сбивать пароль каждый день? А если вообще бот под это дело напишет?

То есть всего лишь зная мыло участника сайта можно легко сбить ему пароль.

Как выяснилось данная уязвимость присутствует в основном в самописных движках. Как по мне, так это еще один аргумент чтобы программировать под существующие CMS.