Esistono buone pratiche per la funzionalità di reimpostazione della password da OWASP e altre risorse. D'altra parte, credo che la maggior parte di noi sia d'accordo sul fatto che le domande di sicurezza non siano facili da usare, o che inducano gli utenti a scegliere risposte facilmente ipotizzabili a domande come "qual è il tuo colore preferito?" o nel caso in cui l'utente dimentichi la password effettiva, molto probabilmente non ricorderà nemmeno la domanda di sicurezza.
Quindi vediamo molti siti Web che forniscono link password via email, il login può anche essere migliorato con l'autenticazione a fattore secondo via email o messaggi di testo.
Modello di minaccia
Nel nostro modello di minaccia, supponiamo di disporre di un'applicazione di pagamento mobile e vogliamo proteggere l'utente in caso di furto del suo telefono cellulare o di accesso da parte di attori malintenzionati. Supponiamo che il cellulare sia suddiviso in (non ci sono password impostate sul dispositivo), ora se un utente malintenzionato ottiene l'accesso al dispositivo, molto probabilmente ha anche accesso all'indirizzo email che è configurato sul dispositivo, quindi può richiedere un reimpostare la password sulle applicazioni installate e inserirle, a meno che non vengano utilizzate domande di sicurezza, ma sono contraria a questa soluzione a causa di problemi sopra citati.
La mia domanda è, in primo luogo, valida questo modello di minaccia, perché non ho visto che venga preso in considerazione in molte applicazioni di pagamento mobile, e in secondo luogo, quanto sarebbe difficile proteggere da tale scenario di attacco e quali sono le possibili soluzioni poiché la maggior parte dei canali laterali (OTP, SMS, Email) sono configurati su dispositivi mobili.