Cuando estoy implementando la funcionalidad de restablecimiento de contraseña, generalmente no incluyo mensajes informativos sobre si se encontró un usuario, porque siempre he creído que puede llevar a la enumeración de nombres de usuarios. Así que en lugar de mostrar:
Account with email "[email protected]" not found.
muestra un mensaje ambiguo como:
Please check your email for instructions on how to reset your password.
independientemente de si se encontró una cuenta o no.
¿Esto es una exageración o una buena práctica?