unicité du mail utilisateur
Le mail ne devrait-il pas être unique ? (ou au moins qu'un option rende ce test possible) : Exemple d'attaque :
"Un administrateur ne connait pas nécessairement les mails de tous ses rédacteurs. Donc si un individu A (le méchant) lui envoie une demande de modification de mail, pour un individu B (la victime). Bien sûr A usurpant l'identité de B demande à ce que le nouveau mail lui soit accessible. Ensuite, il lui suffira de faire une demande de mot de passe pour pouvoir s'identifier sous le compte de le victime.."
Le pb est que pour l'envoi du mot de passe, le mail est considéré comme une clé alors que ça n'en est pas une.