Группа в моей компании реализует API REST для единого входа для наших приложений. Эта служба аутентификации имеет функцию пароля reset. Приложение отправляет имя пользователя функции reset. Если это имя пользователя связано с адресом электронной почты, тогда на этот адрес отправляется электронное письмо с временным паролем.
Другим подходом, похоже, являются сайты, которые отправляют по электронной почте безопасную временную ссылку, которая представляет страницу для ввода пользователем нового пароля. Эта страница существует только в течение короткого периода времени.
Я знаю, что письмо не является безопасным протоколом, поэтому люди могут обнюхивать трафик и восстанавливать временный пароль или временную ссылку.
Есть ли существенные причины безопасности, чтобы предпочесть один метод другому? Есть ли другой, более безопасный способ сделать это?