Estoy actualizando el flujo de trabajo de contraseña olvidada de mi empresa. Actualmente utilizamos Duo Security como nuestro segundo factor en el inicio de sesión (pero para los fines de mi pregunta, este puede ser un servicio de este tipo). He estado recorriendo las mejores prácticas de Owasp y tienen sentido.
Mi confusión viene con lo que veo que otros sitios implementan, se olvidó del flujo de trabajo de contraseña. Tiendo a ver canales laterales como SMS / correo electrónico que se usan para enviar tokens de una sola vez con preguntas de seguridad y otras cosas, incluso si usan un servicio como Duo. Nunca veo, por ejemplo, que un sitio haga una notificación de envío DUO junto con una pregunta de seguridad (u otro elemento 'lo que sabe').
¿Me estoy perdiendo algo obvio?