Suponiendo que el usuario tenga un dispositivo multifactor y olvide su contraseña, ¿cómo debería afectar eso al flujo de trabajo de "contraseña olvidada"?
Si el usuario está iniciando el restablecimiento de la contraseña desde un dispositivo / navegador no reconocido, se debe requerir un segundo factor de autenticación para realizar un restablecimiento de la contraseña. La mejor práctica es exigir que el segundo factor sea coherente en todos los escenarios: autenticación normal (después de verificar la contraseña) o restablecimiento de la contraseña (después de verificar el acceso al enlace del correo electrónico).
Si se reconoce el dispositivo / navegador que solicita el restablecimiento de la contraseña, se puede omitir la autenticación de dos factores después de hacer clic en el enlace de restablecimiento de la contraseña del correo electrónico.
¿Qué sucede si el usuario pierde el dispositivo multifactor o el token de software está dañado? ¿Cómo se debe volver a suministrar?
Si se reconoce el dispositivo / navegador o si el usuario ya tiene una sesión autenticada en el dispositivo, el usuario debe poder desaprovisionar el dispositivo de segundo factor perdido y proporcionar un dispositivo de segundo factor de reemplazo.
Si el dispositivo / navegador no se reconoce y / o el usuario no tiene una sesión autenticada en ese dispositivo, se debe validar un método de autenticación de dos factores de respaldo antes de volver a aprovisionar el dispositivo de segundo factor.
¿Qué sucede si el usuario olvida la contraseña y pierde el token ... cómo debería verse el flujo de trabajo de reaprovisionamiento?
Enviar un enlace de reinicio por correo electrónico es suficiente para recuperar la contraseña de un dispositivo / navegador que se reconoce como confiable *. Después de que el usuario restablece la contraseña, el usuario puede pasar por el reabastecimiento del segundo factor como se describe anteriormente.
Si el dispositivo / navegador del usuario no es de confianza, el usuario debe verificar un método de respaldo si el dispositivo de segundo factor ya no está disponible. Esto podría ser un SMS enviado a un número de teléfono de respaldo, o una cadena de respaldo que se proporcionó cuando se inscribió el dispositivo de autenticación de dos factores. La omisión de esta verificación de un código de respaldo anula que la autenticación de dos factores se haya habilitado alguna vez. Debe ser realizado.
Consulte documentos de ayuda de Google en 2- verificación de pasos para obtener más información acerca de cómo Google maneja estos escenarios. Definitivamente lo han pensado y tienen mucha buena información disponible en línea.
* Donde "de confianza" significa que el usuario se autenticó previamente usando una autenticación de dos factores e indicó que el dispositivo / navegador debe ser de confianza para las autenticaciones posteriores (y que no requiere una autenticación de dos factores nuevamente para este dispositivo).