A Пользователь хочет сбросить пароль, когда
- Подозревает взлом учетной записи
- Регулярно изменяет пароль, думая о практике или принуждении к безопасности со стороны системной политики
Я бы предложил выйти из всех текущих сеансов пользователя при сбросе пароля. Также рекомендуется внедрить механизм подтверждения личности пользователя, например, безопасный код SMS / электронная почта, сброс пароля по электронной почте и т. Д. c. Что делает различие между законным пользователем и злоумышленником.
Да, это может быть неудобно для пользователя.
Подробнее подробный ответ .