Tuve la idea de que, en lugar de generar un token de restablecimiento de contraseña y enviarlo por correo electrónico al usuario, simplemente le envío por correo electrónico la contraseña de hash del usuario. Luego, al reiniciar, el usuario enviará la contraseña antigua con hash y la nueva contraseña en texto sin formato. El servidor compararía la contraseña de hash enviada y la contraseña de hash almacenada, y si coinciden, restablecer.
Esto podría tener algunos beneficios, como la ausencia de tiempo de caducidad en el correo electrónico de restablecimiento y la necesidad de almacenar / caducar los tokens de restablecimiento.
¿Qué tipo de implicaciones de seguridad negativas tendría esto?