Sto aggiornando il flusso di lavoro della password dimenticata della mia azienda. Attualmente usiamo Duo Security come secondo fattore di accesso (ma ai fini della mia domanda questo può essere un qualsiasi servizio del genere). Ho seguito le migliori pratiche di Owasp e hanno senso.
La mia confusione deriva da ciò che vedo altri siti implementano il flusso di lavoro delle password dimenticate. Tendo a vedere canali secondari come SMS / Email usati per inviare token una volta con domande di sicurezza e quant'altro, anche se usano un servizio come Duo. Per esempio, non vedo mai un sito fare una notifica push DUO insieme a una domanda di sicurezza (o altro elemento "che conosci").
Mi manca qualcosa di ovvio?