Se conocen buenas prácticas para la funcionalidad de restablecimiento de contraseña de OWASP y otros recursos. Por otro lado, creo que la mayoría de nosotros estamos de acuerdo en que las preguntas de seguridad no son fáciles de usar, ya que hacen que los usuarios elijan respuestas fáciles de adivinar para preguntas como "¿cuál es tu color favorito?" o en caso de que el usuario olvide la contraseña real, lo más probable es que tampoco recuerde la pregunta de seguridad.
Así que vemos muchos sitios web que ofrecen enlaces de contraseña por correo electrónico, el inicio de sesión también se puede mejorar con la autenticación del segundo factor por correo electrónico o mensajes de texto.
Modelo de amenaza
En nuestro modelo de amenaza, supongamos que tenemos una aplicación de pago móvil, y queremos proteger al usuario en caso de que su teléfono móvil sea robado o accedido a través de actores maliciosos. Suponemos que el dispositivo móvil está roto (no hay una contraseña establecida en el dispositivo), ahora, si un atacante obtiene acceso al dispositivo, lo más probable es que también tenga acceso a la dirección de correo electrónico que está configurada en el dispositivo, por lo que puede solicitar una restablecer la contraseña en las aplicaciones instaladas y entrar en ellas, a menos que se utilicen preguntas de seguridad, pero estoy en contra de esta solución debido a los problemas mencionados anteriormente.
Mi pregunta es: primero, ¿es válido este modelo de amenaza, porque no he visto que se tome en cuenta en muchas aplicaciones de pago móvil? y, segundo, ¿qué tan difícil sería protegerlo contra este escenario de ataque y cuáles son las posibles soluciones ya que la mayoría de los canales laterales (OTP, mensaje de texto, correo electrónico) se configuran en dispositivos móviles.