Bonjour,

Actuellement pour réinitialiser le mot de passe, la page vérifie qu'une connexion sur le compte a déjà été effectuée à partir de l'IP d'où provient la demande et ensuite ça envoie un email à l'adresse email associée au compte avec un lien à cliquer et un mot de passe temporaire. Une fois le lien cliqué ça vérifie avec l'adresse IP et l'identifiant de session si la personne ayant cliqué est celle qui a fait la demande de réinitialisation. Si ça correspond, le mot de passe temporaire est attribué au compte.

Le premier problème est que si la personne a déménagé ou possède une IP dynamique, ça risque de ne pas détecter de connexion précédente sur le compte.
Le deuxième problème est que si la personne consulte ses emails via son téléphone, lors du clique sur le lien l'IP et la session ne sont pas les mêmes.

La solution la plus simple pourrait être de retirer la vérification de l'IP et de la session, mais cela baisse la sécurité du système ...

Avez vous une idée ?

Merci d'avance