Esencialmente, el manejo de esto gira alrededor de tener una combinación de factores que se pueden usar para asegurar que el usuario que solicita el reinicio sea la misma persona que tiene autoridad en la cuenta.
Como ha señalado en su pregunta, uno de los problemas suele surgir cuando se trata de adaptar un sistema de restablecimiento de contraseña a una aplicación existente, ya que es posible que la información requerida no se haya recopilado inicialmente.
Los métodos que he visto incluyen
- dirección de correo electrónico. Principalmente veo esto en sitios web donde el usuario se ha registrado con esa dirección y, por lo tanto, se usa como la ubicación de restablecimiento. Si tiene esa y ninguna otra información, puede ser una solución sostenible.
- mensajes SMS. Los teléfonos móviles tienden a ser únicos para una persona determinada en la mayoría de los casos, por lo que restablecer el teléfono (ya sea por llamada de voz o SMS) podría ser una opción decente.
- Restablecimiento en línea con la aprobación de la administración. Es difícil de configurar, pero he visto sistemas en los que, si se realizó una solicitud de restablecimiento de contraseña, se enviaron correos electrónicos a las personas "aprobadas" (por ejemplo, el administrador) y esas personas confirmaron la solicitud (útil en grandes empresas para reducir los costos del servicio de asistencia)
- Una opción incorrecta (desde un punto de vista de seguridad) que he visto es la confirmación de cierta información personal que la empresa puede tener sobre el miembro del personal (por ejemplo, identificación del personal, nombre de los gerentes, nombre del departamento, etc.) Esto puede ser razonable con respecto a los forasteros completos, pero existe un gran riesgo de que los usuarios internos ya lo sepan.
En última instancia, la opción de verificar con los administradores también es común y es de esperar que los usuarios puedan entender que no es el personal de TI que no confía en ellos, sino que el personal de TI debe asegurarse de que otra persona no acceda a sus cuentas sin autorización.