&gt;&gt; If the user passed the test, then the &quot;suspicious activity&quot; was legitimate and no password reset is necessary.  <br>Assuming for a moment a user &quot;passed the test.&quot;  Are you suggesting that account should now be accessible with the original password?  Because if so, then the attacked who phished that user still has a password that will get them into the account.<br>