不表示嘗試“失敗”。一個用戶（合法或不合法），要求提供密碼重置鏈接，並給您一個電子郵件地址。您應該在這裡說的就是

您的提交已經收到。如果我們有一個與您的電子郵件地址匹配的帳戶，您將收到一封電子郵件，其中包含用於重置密碼的鏈接。

用戶仍將獲得鏈接（成功），但攻擊者不會知道提供的電子郵件地址是否與帳戶關聯。

此發現的原因是，用戶會根據電子郵件地址的存在而獲得不同的響應。可以簡單地告訴他們地址未知，或者響應中有些微妙。

避免此類問題的最簡單實現是返回完全相同的響應，無論電子郵件地址是否存在。

簡單的密碼重置信息已發送至提供的電子郵件地址。如果沒有收到電子郵件，請檢查您是否提供了正確的地址。

可以解決這個問題。

如果您知道該電子郵件地址，發送密碼重置信息。如果不存在，則什麼也不做。真正的用戶將獲得鏈接，而攻擊者無法確定是否發送了電子郵件。

除上述答案外（本該更適合作為註釋，但不能這樣做），黑客可以採取的另一步驟是測量您對錶單的響應時間。確定電子郵件不存在可能需要10毫秒，而生成重置鏈接並發送電子郵件可能需要100毫秒。黑客可以知道響應是否較慢，因此無法成功找到它。如果找不到電子郵件，則可以使用隨機睡眠計時器，以使兩個響應都花費相同的時間。

我們要防範的是什麼？

首先應該問一下他們到底要防範的是什麼。在這種情況下，存在兩種不同的威脅：

• 威脅1 攻擊者蠻行強迫隨機電子郵件查找有效的已註冊電子郵件。從理論上講，這可以用於創建垃圾郵件列表，但據我所知，從未完成過，因為發送電子郵件比處理額外的麻煩要簡單得多（我收到垃圾郵件的時間聲稱我[銀行]帳戶，即使他們不在美國，也需要採取行動。）
• 威脅2 攻擊者將特定用戶或特定用戶列表作為目標。當某人在某處註冊的基本事實可能產生後果時，這一點尤其重要。例如：在某些社區中，對Grindr或Ashley Madison進行帳戶註冊可能會很危險。其他地方可能會公開相同的信息，並從整體上考慮這些信息。通常，註冊表格會通知用戶輸入的電子郵件是否已經註冊，但是當然不適用於大多數B2B軟件。除了“與用戶共享”功能（可以在其中輸入電子郵件以與該用戶共享某些對象的輸入框）之外，該功能通常還會公開此信息，但是由於很少見，因此我不會在此答案中包括這些信息。 p>

  具有公共註冊的系統的解決方案

  首先要承認的是，從UX的角度來看，不通知用戶註冊過程中已經存在帳戶是不愉快的。這同樣適用於密碼重設形式，當用戶輸入錯誤或有多封電子郵件時，密碼重設形式在 ^{1 sup>內自動失敗。這並不意味著這是不應該做的事情，而是應該權衡安全風險和利益。}

  考慮到具有公開註冊的系統，需要考慮的重要事項是威脅2 對您的產品用戶有多大。即使風險很小，也可以謹慎地更改註冊表格，從僅輸入姓名和電子郵件開始，給出一條消息“檢查您的電子郵件以繼續註冊”，如果該電子郵件已被註冊，則向用戶發送電子郵件通知他們這個。同樣，在這種情況下，密碼重置表單將不會以任何方式通知用戶電子郵件是否有效。

  另一方面，如果 Threat 2 最小，我們必須專門針對 Threat 1 建立模型。當然，先前的方法也可以完全針對Threat 1發揮作用，但是考慮到UX成本，值得考慮其他解決方案。最明顯的解決方案是對“電子郵件存在檢查”和“密碼遺忘”檢查都進行速率限制 ^{2 sup>（從技術上講，這些調用甚至可以轉到相同的API端點）。在最初的10個左右的通話中，通常會設計得比較寬鬆，但是在那之後很快就會變得非常有限。}

  重要：切勿從密碼中刪除錯誤消息

  沒有公共註冊的系統的解決方案

  所有這些都歸結為與上述相同的問題（我應該首先寫這篇文章） ），但是沒有註冊UX的額外費用，忘記了安全密碼的形式相對來說“便宜”，儘管對於用戶來說 still 當然令人不快，您仍然可以考慮是否速率限制不足以適合您的特定威脅模型。

  注意事項

  ^{1：明智的做法是至少發送一封電子郵件到輸入的電子郵件，通知他們未找到他們的電子郵件，而不是默默地失敗。這樣1）可以使攻擊者避免大規模濫用系統（這將引起注意），並且2）可以防止用戶懷疑為什麼他們沒有收到電子郵件。 sup>}

  ^{2：做請注意，速率限制可能會對大型網絡或VPN的用戶產生負面影響。始終考慮觀眾對您的重要性，並基於此花費足夠的時間以確保應用程序即使在速率限制最苛刻的情況下也能保持功能正常（例如，通過解決驗證碼降低速率限製或將最大速率限制設置為大約每分鐘一次，並確保應用程序將等待一整分鐘（請注意：鑑於在同一次會議開始時有一群用戶註冊了相同的服務，因此仍然令人不快）。 sup>}

您應該權衡問題與解決方案的不便之處。

通常我認為這是一個折衷。

為了用戶體驗，通常最好犧牲此安全性，除非有人因在您的網站中註冊而受到迫害。

幾年後，我有時會不定期地訪問某個站點，並嘗試查找用於該特定站點的電子郵件。隱藏這些信息的網站很煩人。

請注意，這（除其他答案外）也適用於註冊屏幕，而不是抱怨已經註冊的用戶向他們發送了電子郵件，表明他們已經註冊，並且除了“檢查您的郵件”之外，在網絡應用中不提供任何反饋“。

如果您在電子郵件驗證之前的第一步要求輸入最少的信息（這對GDPR也是有好處的，那麼您可以證明用戶收到了您的信息電子郵件並繼續註冊），這是最好的選擇）。

實際上，註冊沒有麻煩，應該始終這樣做。對於重置密碼功能，我們在軟件中提供了一個選項，您可以在其中選擇直接反饋或電子郵件反饋。（在公司場景中，尤其是在Intranet上，猜測電子郵件並不是真正的威脅。）