更好的组邮件重置密码

Question

我已经阅读了这两个关于忘记密码的链接，以及根据几个条件和情况重新设置密码的更好方法是什么.

Forgot Password: what is the best method of implementing a forgot password function? What is the best "forgot my password" method?

但我手头有一件稍微不同的事情。

我们正在考虑重新设置密码/忘记密码，但我们面临的挑战是，我们有属于组邮件的用户。

例如engineering@mycorporate.com、h.resource@mycorporate.com等

每个组邮件都有许多用户，他们的电子邮件是组的一部分，他们需要使用组邮件登录到本地intranet系统。

如果我们有一个用于重置密码的“忘记密码”链接，我在这里看到了几种可能性：

1. 用户密钥在组邮件中，验证组邮件，发送带有一些唯一字符串但临时的链接1小时，单击电子邮件中的唯一链接，输入新密码并确认新密码。
2. 用户密钥在组邮件中，验证组邮件，发送新生成的密码到邮件组，要求他们在1小时内登录并更改密码。

但不知何故，这个问题仍然来自群组的电子邮件，即任何用户都会知道随机密码(第2点)。

但是，如果使用任何一个方法点1号或2号，人Y执行忘记和重置密码，人Z或任何其他人将不知道新的重置密码.

你认为如何？

Answer 1

对组邮件的收件人保密密码是没有意义的，因为他们每个人都可以启动和完成密码重置过程，并将密码设置为他们喜欢的任何东西。如果邮件组的所有成员都不能访问该帐户，则应将其更改为引用个人电子邮件地址而不是组地址。

如果您实际上打算让电子邮件组的所有成员都知道密码，则需要有一些渠道将新密码分发给所有成员，而不管您为实际更改实现了什么机制。电子邮件是可以的，如果你可以依靠公钥密码，并确保只有实际的授权收件人将能够读取密码，或者如果它不是一个非常关键的系统，你可以忽略安全最佳做法，只需发送新的密码在纯文本电子邮件。