Hoy en día es popular que los marcos y sitios sociales habiliten múltiples opciones de autorización al crear sitios web. Por ejemplo, permitir que un usuario inicie sesión con GitHub, Twitter, Facebook, etc. Además, la verificación de identidad utilizando códigos de verificación móviles también se está volviendo más común.
Habilitar estas características parece traer un riesgo de seguridad adicional, si no se maneja adecuadamente. Por ejemplo, al cambiar una contraseña, a los usuarios se les pide que proporcionen su contraseña anterior o que la restauren por correo electrónico, incluso si el usuario está actualmente conectado o autenticado. Sin embargo, hay casos en los que no se aplica una forma similar de verificación de identidad antes de agregar cuentas / inicios de sesión conectados.
¿Cuáles son las estrategias recomendadas o las mejores prácticas para agregar o modificar opciones adicionales de autorización / inicio de sesión mientras se siguen las precauciones adecuadas?