Sto sviluppando un'applicazione e gli utenti possono aggiungere 2FA al proprio account. tuttavia, se un utente ha perso i codici di backup di 2FA e ha disconnesso l'account su tutti i dispositivi, è sicuro renderli in grado di disabilitare 2FA utilizzando 2 domande di sicurezza pre-impostate?
Non direi di usare le domande di sicurezza perché praticamente tutto è "sicuro".
Ci sono stati così tanti compromessi sulle informazioni personali, che vanno dal finanziario (Equifax) al social (Facebook), non è improbabile che le risposte non siano compromesse.
Domande come il nome da nubile della madre, la cronologia scolastica, la prima auto, ecc. Potrebbe essere parte di una violazione, o essere scaricata da un'e-mail o da un'app di appuntamenti (di solito mostrano la cronologia di occupazione e istruzione per impostazione predefinita ora).
La possibilità di aggirare o disabilitare la 2FA è uno dei punti deboli attuali di come è stato impiegato di recente. A seconda delle risorse suggerirei alcune alternative.
Lascia che scelgano "nulla" (e l'account è bloccato per sempre)
Considera di consentire agli utenti di utilizzare i propri account Google / Facebook per accedere (non ti devi preoccupare di 2FA in quanto è un problema di Google / FB)
consenti loro di specificare un'email di recupero (diversa dalla loro normale email, che riceve l'email di ripristino)
invia una lettera fisica all'account su file
invia un'email / chiamata / SMS, quindi attendi un periodo di tempo (giorni) e se non ricevi risposta dal proprietario dell'account consenti un accesso senza 2FA (l'idea è che risponderebbero se il tentativo non fosse valido / non da loro).
Leggi altre domande sui tag multi-factor secret-questions