En la mayoría de los formularios web, si no en todos, para iniciar sesión en un sitio, tiene el enlace de contraseña olvidada. Al hacer clic en el enlace, obtiene un formulario nuevo (generalmente en una página nueva) ya sea vacío (!) O con la dirección de correo electrónico que ingresó en el formulario de inicio de sesión, donde debe hacer clic nuevamente para que el sitio envíe el restablecimiento. enlace de contraseña.
Creo que lo que debería suceder es que cuando se hace clic sobre el enlace de contraseña olvidada, se envía automáticamente un enlace para restablecer la contraseña. Luego, el texto del enlace cambia a "Restablecer el enlace de la contraseña enviado a [email protected]" hasta que vuelva a ingresar una contraseña incorrecta.
¿Esto es peor de alguna manera que el procedimiento estándar, en cuanto a seguridad?
PS: El lado UX de la pregunta es aquí .
PS2: Estoy pensando en sitios donde tu nombre de usuario es tu dirección de correo electrónico (de la que hay muchos), de lo contrario, la respuesta de BadSkillz apunta a un riesgo de fuga de información muy válido que podría mitigarse al cambiar el mensaje.