好吧，该过程的一部分可能被认为是不安全的：当用户可以访问您的电子邮件帐户并且知道您可能在哪些网站上注册了帐户（例如 Facebook、Twitter、Google 等等）时。这可能是这里可能出现的最简单和最明显的安全问题。

我们还可以看看“电子邮件是否可以以任何方式被截获”和“使用强随机密钥的恢复链接还是有人能猜到”的问题......但我想这有点过头了。对于您描述的密码恢复的常规场景，我想说唯一真正的“安全问题”是我上面描述的那个：有人可以访问您的电子邮件并且知道要检查哪些站点并恢复您的密码。

至于可能造成的损害……这取决于“入侵者”能够恢复哪些网站的密码。在最坏的情况下，您可能不会介意丢失您的 Twitter 帐户，但这说明了为什么网上银行帐户首先不提供那种“密码恢复”。“可能”有人在监视你。

通过给你一个可靠的提示来总结它：如果你的 MyApp.com 是一个在不正当的人手中可能会在经济上毁掉人们的东西，不要使用这种密码恢复......但如果你正在创建下一个 Facebook 或 Twitter，您最好使用这样的恢复程序。

希望有帮助。;)