Ho visitato il sito web della mia banca oggi con l'intenzione di accedere per fare cose bancarie. Ho inserito il mio nome utente e premuto invio in caso di incidente senza inserire una password. Mi ci è voluto in una pagina per selezionare come volevo ottenere il mio codice di sicurezza, in altre parole, la pagina della password dimenticata. Ho selezionato il mio numero di telefono per chiamarmi e dopo aver inserito il codice di verifica, mi ha portato su una pagina per reimpostare la mia password.
Suppongo che molti servizi implementino un modello simile a questo, ma sembra abbastanza banale trovare una situazione in cui qualcuno ha usato una sorta di computer accessibile al pubblico, sia che si trovasse in un bar o in una sorta di ambiente di lavoro, per accedere al proprio conto bancario e lasciare che il browser ricordi il proprio nome utente. Acquisire il telefono potrebbe essere un po 'più complicato ma non impossibile e poiché si tratta di una telefonata non ho bisogno di conoscere un numero PIN per entrare, devo solo essere in grado di rispondere quando suona.
Una e-mail con un link di reimpostazione della password non sarebbe un modello migliore?
Forse sto semplificando eccessivamente la complessità del problema, ma non sembra che qualcuno con motivi discutibili debba essere così ambizioso.