Gestisco un SaaS utilizzato dai team per raccogliere informazioni relative alla società (pensate a qualcosa come Crashlytics). Anche se lo strumento consente agli utenti di invitare i propri colleghi, spesso troviamo casi di persone che hanno creato un account per la propria azienda ma sono gli unici utenti del team. Alla fine, riceviamo richieste dai colleghi che chiedono di accedere all'account, ad esempio quando queste persone lasciano la società.
I dati raccolti appartengono principalmente all'azienda (non all'individuo), quindi la richiesta spesso ha senso.
Parlando con queste persone puoi spesso provare che sono colleghi legittimi che hanno perso l'accesso ai loro dati (come se conoscessero alcuni dettagli su cosa c'è nell'account o i loro indirizzi e-mail appartengono alla stessa azienda ) ma non puoi mai essere sicuro al 100% delle loro buone intenzioni. Consentire a un utente non autorizzato di accedere a un account senza una severa verifica sarebbe una violazione enorme, quindi per ora rifiutiamo tali richieste ma ovviamente non è un'esperienza utente eccezionale.
Stavo pensando che un modo per risolvere questo problema potrebbe essere l'utilizzo di alcune domande di sicurezza aziendali, ma sono aperto anche ad altre opzioni. Hai lo stesso problema e hai trovato una soluzione? Dove posso trovare alcune best practice per le procedure di recupero dell'account?
Grazie!