Oggi è molto diffuso per framework e siti social per abilitare più opzioni di autorizzazione durante la creazione di siti web. Ad esempio, consentire a un utente di accedere con GitHub, Twitter, Facebook, ecc. Inoltre, la verifica dell'identità tramite codici di verifica mobili sta diventando sempre più comune.
L'attivazione di queste funzionalità sembra comportare un ulteriore rischio per la sicurezza, se non gestita in modo appropriato. Ad esempio, quando si modifica una password, agli utenti viene richiesto di fornire la password passata o di reimpostare la password tramite e-mail, anche se l'utente è attualmente connesso o autenticato. Tuttavia, ci sono casi in cui un modo simile di verifica dell'identità non viene applicato prima di aggiungere account / accessi connessi.
Quali sono le strategie o le best practice consigliate per aggiungere o modificare ulteriori opzioni di autorizzazione / accesso mentre si seguono le precauzioni appropriate?