Забравена парола

На /login, под полетата за email и парола, има малък линк „Забравена парола?“. Кликаш — отваря се модал върху страницата.

Пишеш имейла на акаунта си и натискаш „Изпрати код“. Endpoint: `/api/auth/forgot-password`, rate limit 5 опита/мин на IP. От security съображения винаги връщаме `{ success: true }` независимо дали такъв email съществува — иначе атакуващи биха могли да enumerate-нат акаунти. Изпращаме имейл със 6-цифрен **код** (subject: „Код за нулиране: NNNNNN“) — валиден **15 минути**. Това НЕ е магически линк, а код за въвеждане.

Връщаш се на /login с UI за reset: 6-цифрен код от email-а + поле за нова парола (минимум 6 символа). Endpoint: `/api/auth/reset-password` с `{ email, code, password }`. Имаш до 5 опита на код. Rate limit: 10 опита/мин на IP.

След успешен reset: маркираме `email_verified=true` (за всеки случай), изчистваме всички стари кодове за reset и verification, и автоматично те логваме (създава се нова сесия). Старата парола вече не работи. Активните сесии на други устройства НЕ се прекъсват автоматично — за пълна сигурност излез отвсякъде ръчно.