Password reset failed for ...@avocat.be
Les
emails comme ceux-là provienne du use case suivant:
- un utilisateur va sur l’idp pour se connecter avec son
username/password
- il veut récupérer ou changer son mot de passe
- l’IDP lui demande son username (pour les avocats OBFG,
leur adresse @avocat.be)
- l’IDP cherche s’il s’agit d’un username OBFG ou autre
- s’il trouve un username
OBFG, il redirige vers https://portail.avocats.be/reset-password/[username]
- s’il trouve un username
autre, il gère lui-même le flux de reset ou recover du password
- s’il ne trouve pas de
correspondance (ici pour rpetit@avocat.be au
lieu de r.petit@avocat.be), il
envoie ce mail technique que je t’ai forwardé. Mais il ne dit pas à
l’utilisateur qu’il n’a pas trouvé de correspondance, pour ne pas donner
d’indice à des brute force hackers