Assuming the user has a multifactor device and forgets their password, how should that affect the "forgot password" workflow?
Se l'utente sta avviando la reimpostazione della password da un dispositivo / browser non riconosciuto, è necessario un secondo fattore di autenticazione per eseguire una reimpostazione della password. La best practice consiste nel richiedere il secondo fattore in modo coerente in tutti gli scenari: autenticazione normale (dopo aver verificato la password) o reimpostazione della password (dopo aver verificato l'accesso al collegamento di posta elettronica).
Se viene riconosciuto il dispositivo / browser che richiede la reimpostazione della password, l'autenticazione a due fattori può essere saltata dopo aver fatto clic su un link di reimpostazione della password e-mail.
What if the user loses the multi-factor device, or the soft token is corrupted, how should that be re-provisioned?
Se il dispositivo / browser viene riconosciuto o se l'utente dispone già di una sessione autenticata sul dispositivo, l'utente deve essere in grado di annullare il provisioning del dispositivo secondo fattore perso e fornire un dispositivo sostitutivo di secondo fattore.
Se il dispositivo / browser non viene riconosciuto e / o l'utente non dispone di una sessione autenticata su quel dispositivo, è necessario convalidare un metodo di autenticazione a due fattori di backup prima di eseguire nuovamente il provisioning del dispositivo del secondo fattore.
What if the user forgets the password, and loses the token... what should the re-provisioning workflow look like then?
L'invio via e-mail di un link di ripristino è sufficiente per recuperare la password da un dispositivo / browser riconosciuto come attendibile *. Dopo che l'utente ha reimpostato la password, l'utente può eseguire il provisioning del secondo fattore come descritto sopra.
Se il dispositivo / browser dell'utente non è affidabile, l'utente deve verificare un metodo di backup se il dispositivo del secondo fattore non è più disponibile. Potrebbe trattarsi di un SMS inviato a un numero di telefono di backup o di una stringa di backup fornita al momento della registrazione del dispositivo di autenticazione a due fattori. Omettendo questa verifica di un codice di backup si nega che l'autenticazione a due fattori sia mai stata abilitata. Deve essere eseguito.
Vedi Documenti di assistenza di Google su 2- verifica dei passaggi per ulteriori informazioni su come Google gestisce questi scenari. Hanno sicuramente pensato a questo e hanno un sacco di buone informazioni disponibili online.
* Dove "trusted" significa che l'utente precedentemente autenticato utilizzando l'autenticazione a due fattori e ha indicato che il dispositivo / browser deve essere considerato attendibile per le successive autenticazioni (e per non richiedere di nuovo l'autenticazione a due fattori da questo dispositivo).