Noté que Facebook envía un código de "Contraseña olvidada" de seis dígitos, que es muy corto para un código de validación, por lo que asumo que están haciendo lo siguiente:
- Establezca una variable de sesión que esté vinculada al código para que ningún otro cliente pueda usar el mismo código
- Posiblemente también, establezca el número máximo de intentos de ingresar el código correcto
Tengo dos preguntas:
- ¿Lo anterior es la mejor forma de hacer los enlaces de "¿Olvidó su contraseña"?
- ¿Es una alternativa no establecer una variable de sesión ni restringir los intentos, sino simplemente aumentar la longitud del código para que la fuerza bruta se vuelva imposible? ¿Cuánto tiempo tendría que ser este código, entonces? ¿O es esto considerado muy inseguro?
EDITAR: El código de Facebook se envía opcionalmente a su teléfono móvil para que se lo introduzca manualmente en su computadora, lo que debe ser la razón por la que eligieron mantenerlo corto.