Sto proponendo l'uso di un sistema di login che invia un token di accesso monouso (con elevata entropia) via e-mail all'utente. Dopo aver utilizzato il token, l'utente riceve un altro token via e-mail e il token precedente viene invalidato. Il nuovo token viene inviato con informazioni sull'utilizzo dell'ultimo token, quindi se qualcuno accede a un token in qualche modo l'utente lo saprà.
L'implementazione che ho ricevuto ha ricevuto ottimi riscontri per quanto riguarda UX, ma mi trovo di fronte a molte pressioni da parte di non-tech per "dimostrare" che questo è sicuro. Inoltre, il nostro team di marketing è preoccupato che questo sia difficile da insegnare ai clienti.
Oltre alla durata dei token di accesso monouso (che possono durare un paio di settimane), cosa lo rende diverso dalla funzionalità di password dimenticata? Inoltre - ed è qui che questa domanda non ha la stessa risposta di altri che sono relativamente simili qui - ci sono aziende rispettabili che hanno implementato uno schema di login come questo, e ci sono documenti che puoi raccomandare che io indico per provare la sicurezza di questo sistema?