¿Cuáles son algunas buenas maneras de verificar la identidad del usuario para restablecer la contraseña?

Esencialmente, el manejo de esto gira alrededor de tener una combinación de factores que se pueden usar para asegurar que el usuario que solicita el reinicio sea la misma persona que tiene autoridad en la cuenta.

Como ha señalado en su pregunta, uno de los problemas suele surgir cuando se trata de adaptar un sistema de restablecimiento de contraseña a una aplicación existente, ya que es posible que la información requerida no se haya recopilado inicialmente.

Los métodos que he visto incluyen

• dirección de correo electrónico. Principalmente veo esto en sitios web donde el usuario se ha registrado con esa dirección y, por lo tanto, se usa como la ubicación de restablecimiento. Si tiene esa y ninguna otra información, puede ser una solución sostenible.
• mensajes SMS. Los teléfonos móviles tienden a ser únicos para una persona determinada en la mayoría de los casos, por lo que restablecer el teléfono (ya sea por llamada de voz o SMS) podría ser una opción decente.
• Restablecimiento en línea con la aprobación de la administración. Es difícil de configurar, pero he visto sistemas en los que, si se realizó una solicitud de restablecimiento de contraseña, se enviaron correos electrónicos a las personas "aprobadas" (por ejemplo, el administrador) y esas personas confirmaron la solicitud (útil en grandes empresas para reducir los costos del servicio de asistencia)
• Una opción incorrecta (desde un punto de vista de seguridad) que he visto es la confirmación de cierta información personal que la empresa puede tener sobre el miembro del personal (por ejemplo, identificación del personal, nombre de los gerentes, nombre del departamento, etc.) Esto puede ser razonable con respecto a los forasteros completos, pero existe un gran riesgo de que los usuarios internos ya lo sepan.

En última instancia, la opción de verificar con los administradores también es común y es de esperar que los usuarios puedan entender que no es el personal de TI que no confía en ellos, sino que el personal de TI debe asegurarse de que otra persona no acceda a sus cuentas sin autorización.

algunos otros métodos:

• el par de "preguntas secretas" / "respuestas secretas" en los sitios
• hacer preguntas específicas sobre el uso de la cuenta (por ejemplo, ¿cuántas operaciones con acciones realizó ayer? esta semana?)
• la necesidad de llamar por teléfono para solicitar el restablecimiento de la contraseña. Ej .: "hola compañía BlahBlah, traté de acceder a mi cuenta, ya que dice que está bloqueada y que debería telefonearle. Sí, puedo proporcionar algunas informaciones. Sí, puedo decir una frase específica para que pueda grabar y compara mi voz ".
• la necesidad de informar algunos datos de algún token (como OTP). Ej .: para usar un sitio, solo usa su contraseña, pero para "desbloquearlo" tiene que escribir algunos datos que están en el token que genera una contraseña de un solo uso o que está en una tarjeta de papel que le enviaron , etc. En el uso diario, solo necesita una contraseña, no necesita llevar el token con usted todo el tiempo.

También he visto dónde el servicio de asistencia solicitará otro usuario autorizado en lugar de solo un administrador. Utilizaron preguntas secretas (por teléfono, lo cual es tonto, pero bueno) de un usuario autorizado y luego ese usuario verifica que conoce al usuario que está restableciendo la contraseña. Funciona de maravilla para una gran empresa que se extiende por todo el mundo o para consultores que viajan.