Mise à jour
Mise à jour de la base de données, veuillez patienter...
La quasi-totalité des sites proposant demandant une identification proposent une procédure pour les étourdis (Quora n'en propose pas, par exemple). Il en existe plusieurs sortes, que l'on peut lister ici:
La classique
La procédure classique consiste à renvoyer le (nouveau) mot de passe par e-mail. La méthode la moins sécurisée envoie le mot de passe actuel par e-mail, ce qui implique que les mots de passe sont stockés en clair dans la base de données. Grave erreur ! Si un pirate arrivait à récupérer tout ou une partie de cette base de données, c'en est fini pour vous. Une méthode plus sécurisée consiste à chiffrer les mots de passe dans la base de données (md5, sha1, etc), et à en re-générer un qui sera envoyé par e-mail.
Le problème de cette procédure, c'est que si la boîte mail de l'utilisateur a été piratée ou simplement si quelqu'un d'autre y a accès, la personne tier pourra voir le nouveau mot de passe.
L'originale
Une procédure plus originale consiste à envoyer le nouveau mot de passe par sms. La plupart des opérateurs mobiles le permettent, ainsi que des sites comme Ankama ou Multiwizz. Elle a ses inconvénients: l'utilisateur doit accepter de fournir son numéro de téléphone portable, et l'envoi du sms a un coût. Il est possible d'envoyer des sms via l'API de certains hébergeurs (OVH le permet, tandis que 1&1 propose une interface d'administration mais pas d'API). Il existe également des offres extérieures (TM4B, par exemple). Les tarifs varient entre 0.08€ et 0.12€ généralement, mais peuvent atteindre 0.20€ (HT) en fonction du prestataire et de la quantité que vous commandez.
L'avantage de cette procédure, c'est qu'elle est plus sécurisée que la précédente, mais elle est payante.
La sécurisée
La procédure la plus sécurisée est l'envoi d'un courrier, mais elle est également la plus longue et la plus coûteuse. Elle est à réserver pour des sites web où la sécurité doit être élevée (sites de banques, par exemple). Free l'utilise en cas d'oubli de mot de passe pour les pages persos.
L'intégrée
La procédure intégrée permet de réinitialiser son mot de passe directement sur le site concernée. C'est la plus simple pour l'utilisateur, mais le plus dur est de s'assurer que c'est bien le propriétaire du compte qui fait la demande de réinitialisation. Il est possible, par exemple, de demander la réponse à une ou plusieurs questions secrètes qui auront été définies à l'inscription. On peut également poser des questions sur des champs cachés du profil, que seul l'auteur connaît. Lorsque l'on tente de se connecter à Facebook depuis un autre pays, celui-ci effectue une vérification d'identité via les photos des amis du compte; il présente une photo avec trois possibilités, et demande de choisir le nom de celui ou celle qui est représenté(e) sur la photo. Certains sites de MMORPG proposent d'envoyer un scan d'une carte d'identité pour confirmer que l'on est bien le propriétaire du compte. Cette dernière méthode est lourde à gérer autant du côté utilisateur qu'administrateur.
Si l'on est sûr de pouvoir identifier le propriétaire d'un compte de façon automatique sans se tromper, cette procédure est la plus intéressante.
La personnalisée
La procédure personnalisée consiste à contacter un responsable du site. Elle se rapproche de la précédente, car la seule tâche du responsable sera de déterminer si la personne qui l'a contacté peut prouver qu'elle est bien propriétaire du compte. Cette procédure reste extrêmement rare, puisqu'elle demande des moyens humains adaptés à l'audience du site, et peut être remplacée par l'une des précédentes.
À mon sens, la meilleure procédure est l'intégrée, ou alors un mélange de plusieurs procédures, comme l'e-mail et le sms, avec un message à l'administrateur si vraiment cela ne marche pas. Mais aucune des procédure n'est adaptée à 100% des cas.