Ejecuto un SaaS utilizado por los equipos para recopilar información relacionada con la empresa (piense en algo así como Crashlytics). Incluso si la herramienta permite a los usuarios invitar a sus colegas, a menudo encontramos casos de personas que crearon una cuenta para su empresa, pero son los únicos usuarios del equipo. Luego, terminamos recibiendo solicitudes de sus colegas que solicitan acceder a la cuenta, por ejemplo, cuando esas personas dejan la compañía.
Los datos recopilados pertenecen principalmente a la empresa (no a la persona), por lo que la solicitud a menudo tiene sentido.
Al hablar con estas personas, a menudo puede sentir que son colegas legítimos que perdieron el acceso a sus datos (como si supieran algunos detalles sobre lo que hay en la cuenta o sus direcciones de correo electrónico pertenecen a la misma empresa) ) pero nunca puedes estar 100% seguro de sus buenas intenciones. Permitir que un usuario no autorizado acceda a una cuenta sin una verificación estricta sería una violación masiva, por lo que por ahora rechazamos tales solicitudes, pero no es una gran experiencia para el usuario, por supuesto.
Estaba pensando que tal vez una forma potencial de resolver esto sería mediante el uso de algunas preguntas de seguridad relacionadas con la compañía, pero también estoy abierto a otras opciones. ¿Tiene usted el mismo problema y ha encontrado una solución? ¿Dónde puedo encontrar algunas de las mejores prácticas para los procedimientos de recuperación de cuentas?
¡Gracias!