• Gör det möjligt att byta användarnamn utan att förlora användarkontot
• Ge alternativa autentiseringsmetoder för användare som glömt sitt lösenord

E-posta aldrig lösenord som användaren själv formulerat

Eftersom många användare använder samma lösenord till olika webbplatser, bör det behandlas med stor varsamhet, även om säkerhetskraven för just din webbplats inte råkar vara så höga.

Sänd aldrig ut ett lösenord användaren formulerat, vare sig i en bekräftelse på att ett användarkonto skapats eller när användaren glömt sitt lösenord.

När ett lösenord skall sändas via e-post, generera ett nytt och sänd det tillsammans med instruktioner om hur man byter till det lösenord man önskar. Om säkerhetskraven är höga, kan det postade lösenordet vara engångs och bara ge tillgång till sidan där man byter lösenord.