Si un sitio web tiene una función de restablecimiento de contraseña (que enviará por correo electrónico al titular de la cuenta un enlace de restablecimiento) , ¿revela esta instalación demasiada información al permitir que alguien investigue quién posee una ¿Cuenta al ingresar varias direcciones de correo electrónico?
En una pantalla de inicio de sesión puede evitar revelar quién tiene una cuenta dando un mensaje genérico de "Correo electrónico o contraseña incorrecta" cuando se ingresan detalles incorrectos. Lo que podría significar que una cuenta no existe o que la contraseña es incorrecta.
La única forma en que puedo pensar en no revelar quién tiene una cuenta a través de un enlace de restablecimiento de contraseña es proporcionar un mensaje genérico que diga "Se le ha enviado un enlace de restablecimiento a su dirección de correo electrónico, si tiene una cuenta, de lo contrario Tendrá que crear una nueva cuenta "o palabras a tal efecto, ya sea que se envíe o no un enlace de restablecimiento.