ユーザーが存在しない電子メールのパスワードのリセットを要求した場合の最良の動作は何でしょうか。
コンテキスト:ユーザーはログインしていません。ユーザーはメールアドレスを入力してリセットボタンを押すだけです。
- アカウントが存在しないことをすぐにリセットを要求しているユーザーに伝えると、それは少しのセキュリティホールとプライバシーの問題の両方です。
- 私が何もせず、それが無実の間違いである場合(彼らはアカウントを持っていると思っていました)、彼らは一体何が起こったのか疑問に思うでしょう。最も神秘的なオプションであり、悪用される可能性が最も低い。
- パスワードのリセットが要求されたが、アカウントがないことを通知する電子メールを送信できます(そして、何とか何とか何とか無視する必要があります)。これは最も害が少ないように見えますが、少し悪用される可能性があります。
更新:さらに検討すると、 1が大したことではありません。なぜなら、同じ電子メールにサインアップ/使用しようとするだけで同じ情報を取得できるからです...何かが足りない場合を除いて...