Non direi di usare le domande di sicurezza perché praticamente tutto è "sicuro".
Ci sono stati così tanti compromessi sulle informazioni personali, che vanno dal finanziario (Equifax) al social (Facebook), non è improbabile che le risposte non siano compromesse.
Domande come il nome da nubile della madre, la cronologia scolastica, la prima auto, ecc. Potrebbe essere parte di una violazione, o essere scaricata da un'e-mail o da un'app di appuntamenti (di solito mostrano la cronologia di occupazione e istruzione per impostazione predefinita ora).
La possibilità di aggirare o disabilitare la 2FA è uno dei punti deboli attuali di come è stato impiegato di recente. A seconda delle risorse suggerirei alcune alternative.
-
Lascia che scelgano "nulla" (e l'account è bloccato per sempre)
-
Considera di consentire agli utenti di utilizzare i propri account Google / Facebook per accedere (non ti devi preoccupare di 2FA in quanto è un problema di Google / FB)
-
consenti loro di specificare un'email di recupero (diversa dalla loro normale email, che riceve l'email di ripristino)
-
invia una lettera fisica all'account su file
-
invia un'email / chiamata / SMS, quindi attendi un periodo di tempo (giorni) e se non ricevi risposta dal proprietario dell'account consenti un accesso senza 2FA (l'idea è che risponderebbero se il tentativo non fosse valido / non da loro).