从可用性的角度来看，实现密码恢复的最佳方式是什么？

Question

我在SO上读到了其他密码恢复问题，似乎大多数人都认为发送一个只能使用一次并在几天后过期的密码恢复链接最安全。

现在我的问题，(我知道这是主观的，但我正在寻找您可能已经从您的用户收到的输入)

这对用户来说也是相当舒适的吗？说到用户，我指的是你的祖母，不是你的同事。

Answer 1

作为一名用户，我喜欢这样的情况:我可以选择一个新密码，然后给我发送一封激活邮件，提供一个可点击的链接，让新密码生效。

我不喜欢当一个新的一次性密码发送给我，让我登录并在我的个人资料中编辑它。

不过，最棒的是有了OpenID登录，所以我根本不需要保留任何密码。

Answer 2

还有什么比单击激活链接并输入新密码更简单的呢？

Answer 3

当涉及到访问控制、可用性或安全性时，您的站点的重点是什么？

如果它的可用性，那么也许以纯文本存储密码，并允许他们在请求时发送到注册的电子邮件地址是足够的，并且可能比更安全的替代方案更有用。

如果安全是答案，那么陷阱门编码和密码重置是更好的选择。