「パスワード紛失」機能は本当に脆弱性ですか？

"本当に安全な唯一のシステムは、電源を切ってコンクリートブロックに入れ、武装した警備員のいる鉛が敷かれた部屋に密閉するものです - それでも私は疑問を持っています。

パスワードを忘れた場合の機能は潜在的にリスクとなる可能性がありますが、保持しているかどうかはリスク評価の問題です。その評価のために確かに唯一の答えはありません、あなたはあなた自身のケースのためにそれを評価しなければなりません。大事なことを言い忘れましたが、私は個人的に言うと、この機能を常に削除するのは、ある程度安全ではないため、提案を正当化することになります。だから私はそれが一般的に深刻な脆弱性であるとは言いません。

問題は、機能が悪用される可能性があるかどうかではありませんが、代替手段は何ですか？ほとんどのユーザーはDBにアクセスできないし、手動でDBを更新できないため、紛失したパスワードを回復することは重要です。

複数のユーザーがいるサイト、または技術的でないユーザーがいるサイトの機能を削除すると、ユーザーのパスワードをリセットするためにかかってきた電話の数に戸惑う可能性があります。

パスワードをリセットする機能を削除した場合、ログインワークフロー全体を害し、それをまったく別のものに置き換える可能性があります。おそらく、FBなどのSSOや何らかの2要素認証に頼ってください。

総当たり攻撃が増加しています

ブルートフォーススクリプトで遊んでいるスクリプトキディがもっと多いからといって、それらがより危険になることはありません。安全ではないプラグインやテーマがすべて揃っているため、愚かなパスワードを選択している人（そう、多くの人がいます）だけがそのようにハッキングされるのです。