История изменений
Исправление Sadler, (текущая версия) :
Чтобы так не делать, у программы должна быть возможность не вводить этот самый пароль для логина. Следовательно, сервер должен предоставлять возможность генерации временных токенов для пользователя, по которым тот и может входить в свой аккаунт. Тогда злоумышленник, даже похитив один токен, сможет юзать аккаунт лишь непродолжительный промежуток времени (скажем, месяц). Соответственно, смена учётных данных по токену производиться не должна.
И что, тот же Jabber так умеет?
Исходная версия Sadler, :
Чтобы так не делать, у программы должна быть возможность не вводить этот самый пароль для логина. Следовательно, сервер должен предоставлять возможность генерации временных токенов для пользователя, по которым тот и может входить в свой аккаунт. Тогда злоумышленник, даже похитив один токен, сможет юзать аккаунт лишь непродолжительный промежуток времени (скажем, месяц). Соответственно, смена учётных данных по токену производиться не должна.