Opa 
Estou desenvolvendo uma aplicação que utilizo JSF e queria saber qual seria a melhor maneira para que o usuário pode-se se autenticar e criar uma nova senha caso ele esqueça a senha atual.
Pensei em passar parâmetros na URL, mas ahco que isso é uma péssima idéia. Qual seria uma opção legal e segura para isso?
Estou partindo da idéia em enviar um email para o usuário clicar, o que vcs acham?
[]'s
mande uma mensagem com a senha para o email que o usuário tem no cadastro! Ou cria a opção de email secundário!
Acho que é a forma mais simples e segura!
Não tem como enviar a senha sem criptografia pq estou usando MD5.
Vc gera uma nova senha aletoriamente, encritpa e guarda no banco. E vc manda a senha gerada, sem ter sido encriptada.
Mas como vou tirar a criptografia da senha?
Crie um gerador de senhas temporárias! e envie a senha gerada por email ao perdedor de senhas! 
Eu implementei dessa forma como disseram anteriormente.
Você cria uma senha temporaria, encripta e salva no banco de dados.
Ai vc envia para o usuário falando que a senha dele foi alterada, pra assim que possível ele fazer a alteracao (no meu caso, como a minha senha temporaria ja foi um md5, ele com certeza vai trocar a senha rapidinho… nao vai querer digitar aquele monte de caracteres)
Abraço!
Vc não tira!
Vc cria a senha humanamente legivel aleatoriamente (S)
Vc envia essa senha por email.
Vc encripta a senha e obtém X
Vc grava X no banco.
So que não faz sentido enviar o email antes de X ter sido gravado no banco. Portanto, vc grava X primeiro no banco e envia S por email depois.
[quote=davidpadilha]Opa
Estou desenvolvendo uma aplicação que utilizo JSF e queria saber qual seria a melhor maneira para que o usuário pode-se se autenticar e criar uma nova senha caso ele esqueça a senha atual.
Pensei em passar parâmetros na URL, mas ahco que isso é uma péssima idéia. Qual seria uma opção legal e segura para isso?
Estou partindo da idéia em enviar um email para o usuário clicar, o que vcs acham?
[]'s[/quote]
se o usuário pode recuperar a senha, seu sistema não é seguro! -> use MD5!
Além de enviar a senha por e-mail, dependendo do seu caso, pode ser solicitado ao administrador cadastrar uma nova senha (que expiraria rapidamente) e depois o usuário altera para alguma outra.
Ressuscitando tópico de 2008
como faço para criar/enviar uma url com um nome bem estranho tipo 1543415fghfyhdfbggs4687g4f.xhtml para Email cadastrado
com validade por até algumas horas, ou se foi acessada pela primeira vez, ela ser removida
com dois campos de texto para editar a senha
[quote=jaissonduarte]Ressuscitando tópico de 2008
como faço para criar/enviar uma url com um nome bem estranho tipo 1543415fghfyhdfbggs4687g4f.xhtml para Email cadastrado
com validade por até algumas horas, ou se foi acessada pela primeira vez, ela ser removida
com dois campos de texto para editar a senha[/quote]
Você pode fazer com parâmetro, por exemplo, passa a senha temporária por parâmetro, como eu fis uma vez:
blablabla.com.br/aplicacao/recuperarSenha.extensao?senha=123456
mais ou menos isso.
[quote=esdras_63]
Você pode fazer com parâmetro, por exemplo, passa a senha temporária por parâmetro, como eu fis uma vez:
blablabla.com.br/aplicacao/recuperarSenha.extensao?senha=123456
mais ou menos isso.[/quote]
mas isso não é perigoso afinal se o usuário estiver numa maquina compartilhada quem visualizar seu histórico de navegação vai notar a senha e entrar no sistema no lugar do usuário
meu orientador achou melhor enviar um Email com uma link para uma página com um tempo limite de acesso e se já foi acessada uma vez essa página desaparece, acho que deu para entender,
[quote=jaissonduarte][quote=esdras_63]
Você pode fazer com parâmetro, por exemplo, passa a senha temporária por parâmetro, como eu fis uma vez:
blablabla.com.br/aplicacao/recuperarSenha.extensao?senha=123456
mais ou menos isso.[/quote]
mas isso não é perigoso afinal se o usuário estiver numa maquina compartilhada quem visualizar seu histórico de navegação vai notar a senha e entrar no sistema no lugar do usuário
meu orientador achou melhor enviar um Email com uma link para uma página com um tempo limite de acesso e se já foi acessada uma vez essa página desaparece, acho que deu para entender, [/quote]
Sim, é perigoso, mas o cara tem que mudar logo após ele ter feito a recuperação, mas mesmo assim acho que da página seria mais seguro.