如果您不能拒绝存储可恢复密码的要求，那么您的反对论点如何?

我们可以正确地散列密码并为用户建立一个重置机制，或者我们可以从系统中删除所有个人身份信息。您可以使用电子邮件地址来设置用户偏好，但仅此而已。使用cookie可以自动提取未来访问的偏好，并在一段合理的时间后丢弃数据。

密码策略中经常被忽视的一个选项是是否真的需要密码。如果你的密码策略所做的唯一一件事就是导致客户服务电话，也许你可以摆脱它。

用户是否真的需要恢复(例如被告知)他们忘记的密码是什么，或者他们只是需要能够进入系统?如果他们真正想要的是登录密码，为什么不设置一个程序，简单地将旧密码(不管是什么)更改为支持人员可以提供给丢失密码的人的新密码?

我曾经使用过这样的系统。支持人员无法知道当前密码是什么，但可以将其重置为新值。当然，所有这些重置都应该记录在某个地方，最好的做法是生成一封电子邮件给用户，告诉他密码已被重置。

另一种可能是使用两个同时的密码来访问一个帐户。一个是用户管理的“正常”密码，另一个就像一个骨架/主密钥，只有支持人员知道，对所有用户都是一样的。这样，当用户有问题时，技术支持人员可以用万能钥匙登录到帐户，并帮助用户更改密码。不用说，所有使用主密钥的登录都应该由系统记录。作为一种额外的措施，无论何时使用主密钥，您都可以验证支持人员凭据。

- edit -回应关于没有主密钥的评论:我同意这是不好的，就像我认为允许用户以外的任何人访问用户的帐户是不好的一样。如果你看一下这个问题，整个前提是客户要求一个高度妥协的安全环境。

万能钥匙不需要像乍看之下那么糟糕。我曾在一家国防工厂工作，他们认为主机操作员在某些场合需要有“特殊访问权限”。他们只是把特殊的密码放在一个密封的信封里，并把它贴在操作员的桌子上。要使用密码(接线员不知道)，他必须打开信封。每次换班时，值班员的一项工作就是查看信封是否被打开，如果打开了，立即(由其他部门)更改密码，新密码放入新信封，然后重新开始这个过程。操作员将被问及他为什么打开它，这一事件将被记录在案。

虽然这不是我设计的程序，但它确实有效，并提供了良好的问责制。每件事都被记录和审查过，加上所有的操作员都有国防部的秘密许可我们从未有过任何滥用。

由于审查和监督，所有操作员都知道，如果他们滥用打开信封的特权，他们将立即被解雇，并可能受到刑事起诉。

所以我想真正的答案是，如果一个人想把事情做好，就雇佣他们可以信任的人，进行背景调查，并行使适当的管理监督和问责制。

但话说回来，如果这个可怜的家伙的客户有良好的管理，他们就不会在第一时间要求这样一个安全折衷的解决方案，不是吗?

中途教习所怎么样?

使用强加密存储密码，不要启用重置。

与其重置密码，不如允许发送一次性密码(必须在第一次登录时立即更改)。然后让用户更改为他们想要的任何密码(如果他们选择，是之前的密码)。

你可以把它作为一种重置密码的安全机制来“推销”。

您可以使用公钥加密密码+盐。对于登录，只需检查存储的值是否等于从用户输入+ salt计算的值。如果需要以明文形式恢复密码，则可以使用私钥手动或半自动地解密。私钥可以存储在其他地方，还可以对称加密(这将需要人工交互来解密密码)。

我认为这实际上有点类似于Windows恢复代理的工作方式。

密码被加密存储 人们无需解密为明文即可登录 密码可以恢复为明文，但必须使用私钥，私钥可以存储在系统之外(如果您愿意，可以存储在银行保险箱中)。

我以实现多因素身份验证系统为生，所以对我来说，很自然地认为可以重置或重构密码，同时暂时少使用一个因素来验证用户，仅用于重置/重新创建工作流。特别是使用otp(一次性密码)作为一些额外的因素，如果建议的工作流的时间窗口很短，则可以降低很大程度的风险。我们为智能手机(大多数用户已经随身携带了一整天)实现了软件OTP生成器，并取得了巨大的成功。在对商业插头的抱怨出现之前，我想说的是，当密码不是用于验证用户身份的唯一因素时，我们可以降低密码易于检索或重置的固有风险。我承认，在网站场景之间的密码重用情况仍然不太好，因为用户会坚持拥有原始密码，因为他/她也想打开其他网站，但你可以尝试以最安全的方式(htpps和谨慎的html外观)提供重建的密码。

在注册时，在加密和丢失密码之前，通过电子邮件发送明文密码怎么样?我见过很多网站这样做，从用户的电子邮件中获取密码比把密码留在你的服务器/comp上更安全。