我想知道當用戶爲不存在的電子郵件請求重置密碼時的最佳行爲。缺失帳戶的最佳密碼重置行爲
上下文:用戶沒有登錄。他們只是輸入一個電子郵件並點擊重置按鈕。
- 如果我立即告訴用戶請求重置帳戶不存在,這是一個安全漏洞和隱私問題。
- 如果我什麼都不做,這是一個無辜的錯誤(他們認爲他們有一個帳戶),他們會想知道發生了什麼。最神祕的選擇,最不受虐待。
- 我可以發送一封電子郵件,說密碼重置已被請求,但沒有帳戶(應該被忽略等等等等等等)。這似乎是最不有害的,但有點受到濫用。
更新:在進一步的考慮,我真的不這麼如何是一個大問題,因爲他們可以通過簡單地嘗試註冊/使用相同的電子郵件......除非得到相同的信息我失去了一些東西......