为什么再次输入(或至少确认)我的电子邮件地址，当我点击“忘记密码”？

Question

在大多数(如果不是全部)登录到站点的web表单中，您有您忘记的密码链接。单击该链接时，您将得到一个新表单(通常在新页面中)，或者为空(!)或者预先填写您在登录表单中输入的电子邮件地址，在那里您必须再次单击才能真正获得站点发送重置密码链接。

我认为，当点击忘记密码链接时，会自动发送一个重置密码链接。然后，链接文本更改为“重置密码链接发送到xx@yy.zz”，直到您再次输入错误的密码。

从安全角度来说，这比标准程序更糟糕吗？

PS:问题的这里的UX方面。

PS2:我想的是你的用户名是你的电子邮件地址(其中有很多)，否则巴德斯基尔兹的回答指出了一个非常有效的信息泄漏风险，可以通过改变消息来减轻这种风险。

Answer 1

这使(在某种程度上)确保您确实是与帐户相关联的用户，您至少应该知道创建帐户所用的电子邮件地址。

自动填写电子邮件地址可能已经让攻击者有机会获取数据库中的所有电子邮件地址，只需为每个您能想到的帐户请求一个新密码即可。这同样适用于显示“一封电子邮件已发送到xzy@abc.com”的信息。现在，您有与帐户相关联的电子邮件，并让服务器发送一封电子邮件。想象一下，这样做有100万次。