我碰到了这个statement



有人可以澄清为什么忘记密码会有风险吗？我计划通过向用户发送电子邮件中的链接来重置密码来处理该密码，但是不会为他们提供旧密码(因为无论如何都会对其进行哈希处理)，并且在重置时不会要求他们提供旧密码。我的方法有风险吗？

只要不存储密码，您的方法绝对正确。

相反，询问安全性问题绝对是不好的，因为仅通过猜测答案就容易被绕过。

进行一点编辑:尽管可能很难捕获所有这些，但是您应该尝试禁止使用mailinator电子邮件帐户(或来自类似服务的电子邮件地址)，因为mailinator +忘记密码=灾难。