»唯一真正安全的系统是一个关闭电源、浇注在混凝土块中并密封在有武装警卫的铅衬里房间中的系统，即使如此，我仍心存疑虑。«（Gene Spafford）

丢失密码功能可能存在风险，但是否保留它只是风险评估的问题。对于这种评估，肯定没有唯一的答案，你必须自己评估你的情况。最后但并非最不重要的一点是，我个人会说，始终删除该功能在一定程度上并不是不安全的，这将证明这一建议是合理的。所以我不会说这是一个严重的漏洞。

问题不在于该功能是否会被滥用，而在于替代方案是什么？恢复丢失的密码很重要，因为大多数用户无权访问数据库，也无法手动更新数据库。

如果任何站点的用户超过一个，或者用户不是技术性的，那么删除该功能可能会让用户对重置用户密码的呼叫次数感到恼火。

如果您取消了重置密码的功能，则会影响整个登录工作流，您还可以用完全不同的东西来替换它，可能需要依赖类似SSO的FB或某种形式的双因素身份验证。

暴力袭击呈上升趋势

仅仅因为有更多的脚本小子在玩暴力脚本并不会让他们变得更危险。由于所有不安全的插件和主题都存在，暴力强迫只是浪费时间，只有选择愚蠢密码的人（好吧，有很多这样的人）才会被那样的黑客攻击。