Gestire essenzialmente questa rivoluzione significa avere una combinazione di fattori che possono essere utilizzati per assicurare che l'utente che richiede il ripristino sia la stessa persona che ha l'autorizzazione per l'account.
Come hai notato nella tua domanda, uno dei problemi tende a venire dove riadattare un sistema di reimpostazione della password a un'applicazione esistente in quanto le informazioni richieste potrebbero non essere state raccolte inizialmente.
I metodi che ho visto includono
- indirizzo e-mail. Lo vedo principalmente sui siti web in cui l'utente si è registrato con tale indirizzo e pertanto viene utilizzato come posizione di ripristino. Se hai questo e nessun'altra informazione, potrebbe essere una soluzione sostenibile.
- messaggi SMS. I telefoni cellulari tendono ad essere unici per una determinata persona nella maggior parte dei casi, quindi ripristinare il telefono (tramite chiamata vocale o SMS) potrebbe essere un'opzione decente.
- Ripristino online con approvazione della direzione. Molto impegnativo da configurare ma ho visto sistemi in cui, se è stata effettuata una richiesta di reimpostazione della password, le e-mail sono state inviate a persone "approvate" (ad esempio, manager) e quelle persone hanno confermato la richiesta (utile nelle grandi aziende per ridurre i costi dell'helpdesk)
- Un'opzione errata (dal punto di vista della sicurezza) che ho visto è la conferma di alcune informazioni personali che la società potrebbe avere sul membro del personale (ad esempio, ID del personale, nome del manager, nome del reparto, ecc.) Ciò potrebbe essere ragionevole con per quanto riguarda gli outsider completi, ma c'è un grosso rischio che gli utenti interni già lo sappiano
In definitiva anche l'opzione di controllo con i gestori è comune e si spera che gli utenti possano capire che non è il personale IT a non fidarsi di loro, ma che lo staff IT deve assicurarsi che qualcun altro non acceda ai propri account senza autorizzazione ..