Realmente no hay una respuesta "correcta" que podamos dar. Debe comprender los riesgos e impactos para tomar una decisión sensata. Solo usted puede hacerlo con una comprensión del valor de los datos y el costo de una infracción.
Habiendo dicho eso:
- El uso del ID de usuario por sí solo no brindaría una seguridad real y es común que un sistema recuerde el ID de usuario que se usa a través de una cookie para la comodidad del usuario.
- Requerir la entrada de contraseña para volver a autenticarse sería el requisito mínimo que yo pensaría
- ¡Requerir 2FA después de un tiempo de espera es más seguro pero es probable que los usuarios salgan en tropel! Incluso muchas aplicaciones bancarias no requieren eso. Sin embargo, nuevamente, depende de la configuración que esté utilizando. Si los tiempos de espera son razonablemente largos, requerir 2FA puede estar bien. Si ocurren después de 5 minutos de inactividad, es probable que no sea aceptable para los usuarios.
Así que piense en los riesgos y el impacto si se realizan los riesgos. Piense en el valor / costo. No solo sobre la experiencia del usuario.
Tampoco olvides que podrías ser más sofisticado. Por ejemplo, si su tiempo de espera se establece en 15 minutos, quizás necesite volver a ingresar la contraseña durante los próximos 15 minutos, pero si el usuario no responde en 30 minutos, digamos, puede que necesite 2FA.
Tampoco olvide agregar impactos más significativos si alguien no inicia sesión después de varios intentos. En general, es sensato comenzar por evitar nuevos intentos por un corto tiempo, con el aumento de tiempo en más intentos hasta un bloqueo completo que requiere la intervención del administrador después de un número de intentos fallidos.