Obnovení hesla přes mail

Zdravím, chystám se na webu zprovoznit možnost "Zapomněli jste heslo?" Pokud uživatel napíše do formuláře e-mail, které je spojeny s jeho účtem, odešle se na něj odkaz, kde si bude moct vytvořit heslo nové.

Zvažoval jsem možnost zaslat nově vygenerované heslo, ale z uživatelského hlediska mi to nepřijde moc praktické, jelikož člověk si pak musí (měl by, pokud si nechce pamatovat vygenerované heslo) nastavit svoje heslo a režije s tímto spojená je zhruba stejná jako když si bude moci nastavit heslo nové ihned.

Bohužel nevím jaká je praxe, tudiž mám v plánu to realizovat takto: tabulky: +-----------+ +--------------+ | UCET | | FORGOT_PWD | +-----------+ +--------------+ | <PK> ID | | <PK> ID_ucet | | mail | | key | | datum | +--------------+ +-----------+ ID_ucet je FK (ID z tabulky UCET) atribut datum je datum registrace 1) uživatel zadá email ke kterému neví heslo 2) do tabulky FORGOT_PWD se vytvoří záznam s atributy ID_ucet (ID účtu daného mailu), key (MD5(mail . datum . salt ) . id čili key = 1 - 32 znak MD5 . id 3) na e-mail uzivatele se odesle odkaz ve tvaru www.web.cz/new_pass.php?ref=key (key je z tabulky FORGOT_PWD) Pokud uživatel klikne na odkaz, na stránce /new_pass.php se oveři, zda li je v tabulce FORGOT_PWD záznam odpovídající atributu ID_ucet a key, pokud ano nabídne uživateli formulář se zadáním nového hesla Chci se zeptat jestli je tato varianta rozumná a bezpečná, případně jak by jste řešili tento problém vy, diky.

tato varianta byva pomerne bezna, samozrejme neni 100% bezpecna, jenze to zadne obnoveni hesla pres email :) takze bych to nejak vic neresil, udelej to tak jak pises

Jediné, jak by se to dalo trochu líp zabezpečit je omezit to časově třeba na 20 min a ověřovat, že je stejná IP, jinak, bych to udělal viz tvůj příspěvek :)