Entonces, cuando llegas al enlace de contraseña olvidada e ingresas tu dirección de correo electrónico, parece que los sitios (y otros programadores con los que he hablado) son uno de los dos modos de pensar;
- Notifique al usuario si la dirección de correo electrónico coincidió con una de la base de datos y, de acuerdo con este aviso, si se configuró un correo electrónico para restablecer la contraseña o:
- Responda de inmediato con un "Correo electrónico enviado" o "Si este usuario existe, le hemos enviado un correo electrónico de restablecimiento de contraseña" independientemente de si se produjo una coincidencia que resultó en un correo electrónico enviado. Esto se hace (aparentemente) por razones de seguridad.
He implementado este último yo mismo y, en general, descubrí que generaba molestias con los usuarios debido a;
- Si un usuario escribe incorrectamente su dirección de correo electrónico, se le informa que se envía un correo electrónico, pero nunca recibirá una.
- Si han escrito una dirección de correo electrónico diferente a la que se registraron, tampoco recibirán un correo electrónico.
- Una combinación de lo anterior puede resultar en múltiples intentos, pero no se recibe un correo electrónico para restablecer la contraseña, lo que da como resultado la renuncia.
Finalmente, tras la investigación de sitios web populares que utilizan el segundo escenario, descubrí que al intentar registrar una cuenta en estos sitios donde la dirección de correo electrónico ingresada coincide con una cuenta existente, "esta dirección de correo electrónico ya está en uso, o el mensaje de tipo "no disponible" se muestra de todos modos.
Como tales, ¿cuáles son los beneficios que no revelan si un correo electrónico de restablecimiento de contraseña ha coincidido con una cuenta, y cómo son estos beneficios cuando el registro requiere que se revelen coincidencias de correo electrónico?