Estoy desarrollando una aplicación y los usuarios pueden agregar 2FA a su cuenta. sin embargo, si un usuario ha perdido los códigos de copia de seguridad de 2FA y se ha desconectado de la cuenta en todos los dispositivos, ¿es seguro hacerlos capaces de desactivar 2FA utilizando preguntas de seguridad preestablecidas 2?
Yo no diría que usar preguntas de seguridad para casi cualquier cosa es "seguro".
Ha habido tantos compromisos con la información personal, desde la financiera (Equifax) hasta la social (Facebook) que no es improbable que las respuestas no se vean comprometidas.
Preguntas como el apellido de soltera de la madre, el historial escolar, el primer auto, etc. Podrían ser parte de una infracción, o eliminarse de un correo electrónico o una aplicación de citas (por lo general, muestran el historial de ocupación y educación de forma predeterminada).
La capacidad de omitir o deshabilitar 2FA es una de las debilidades actuales de cómo se ha empleado recientemente. Dependiendo de sus recursos sugeriría algunas alternativas.
Permítales elegir 'nada' (y la cuenta siempre estará bloqueada)
Considere permitir que los usuarios usen sus cuentas de Google / Facebook para iniciar sesión (no tiene que preocuparse por 2FA, ya que es un problema de Google / FBs)
les permite especificar un correo electrónico de recuperación (que no sea su correo electrónico normal, que recibe el correo electrónico de recuperación)
envíe una carta física a la cuenta archivada
envíe un correo electrónico / llamada / SMS, luego espere un período de tiempo (días) y si no recibe una respuesta del propietario de la cuenta, permita un inicio de sesión sin 2FA (la idea es que responderían si el intento no fuera válido) / no de ellos).
Lea otras preguntas en las etiquetas multi-factor secret-questions