Ho sentito che l'uso degli SMS in Europa non è nemmeno vicino a quanto viene utilizzato negli Stati Uniti. Come fanno l'autenticazione in due passaggi quando un utente dimentica la propria password? È semplice come usare un robocall per dare loro un codice invece di un testo?
Penso che la premessa della domanda sia errata. Usiamo SMS in Europa. E anche se non è così comunemente usato come negli Stati Uniti (non è sicuro che sia effettivamente vero, ma lascia supporre così), le persone hanno ancora i telefoni cellulari con la possibilità di ricevere SMS. In questo modo è possibile utilizzare 2FA con SMS e viene utilizzato il commoly. In base alla mia esperienza (al contrario delle statistiche effettive), direi che è il secondo fattore più comune quando viene utilizzato 2FA.
La risposta di Sebastian Nielsens contiene alcuni buoni esempi di altri metodi che possono essere utilizzati, quindi non lo ripeterò qui.
Nella maggior parte dei casi qui in Svezia / Europa, il recupero viene effettuato tramite e-mail. Nel caso in cui sia un servizio sensibile, ad esempio bancario o qualcosa di simile, il recupero deve essere effettuato visitando fisicamente la banca e mostrando l'ID.
Robocall è molto raro in Svezia, soprattutto perché è costoso e sopporta i suoi rischi (numeri con addebito inverso e simili).
In alcuni casi, il recupero viene effettuato tramite posta ordinaria, ad esempio inviando una posta ordinaria all'indirizzo che si trova nel registro della popolazione.
Ma ci sono alcuni servizi che fanno anche la verifica degli SMS. La ragione per cui SMS non è così diffusa è che la maggior parte delle persone oggi usa Whatsapp, iMessage e tali servizi.
Per quello che vale, SMS non è molto sicuro come canale out-of-band. Quello che ho visto in Europa, è l'uso di un dispositivo mobile registrato come secondo fattore. Tuttavia, il token inserito dall'utente (stile Google Authenticator) non viene utilizzato.
Invece, quando arriva il momento di accedere, apri un'app mobile speciale e inserisci un PIN in quell'app, e l'app parla al sito di accesso dicendo "ecco il mio token segreto" fuori banda con la sessione web.
Pertanto, il dispositivo più le sue informazioni di registrazione / fornitura più il PIN utente per l'app di autenticazione / ID funge da secondo fattore, che è meno facile da hackerare rispetto al canale SMS basato su SS7 / numero di telefono.
L'effettivo fornitore / nome di questa tecnologia mi sfugge, ma sono sicuro che qualcun altro mi assisterà.
Leggi altre domande sui tag mobile sms password-reset multi-factor