He escuchado que el uso de SMS en Europa ni siquiera se acerca a cuánto se usa en los EE. UU. ¿Cómo realizan la autenticación en dos pasos cuando un usuario olvida su contraseña? ¿Es tan simple como usar una llamada automática para darles un código en lugar de un texto?
Creo que la premisa de la pregunta es incorrecta. Nosotros usamos SMS en Europa. E incluso si no se usa tan comúnmente como en los EE. UU. (No estoy seguro de que sea cierto, pero supongamos que sí), las personas todavía tienen teléfonos celulares con capacidad para recibir SMS. Por lo tanto, se puede utilizar 2FA con SMS y se usa comunmente. Según mi experiencia (a diferencia de las estadísticas reales), diría que es el segundo factor más común cuando se usa 2FA.
La respuesta de Sebastian Nielsens contiene algunos buenos ejemplos de otros métodos que pueden usarse, así que no lo repetiré aquí.
En la mayoría de los casos aquí en Suecia / Europa, la recuperación se realiza por correo electrónico. En caso de que sea un servicio sensible, por ejemplo bancario o algo similar a eso, la recuperación debe hacerse visitando físicamente el banco y mostrando la identificación.
Robocall es muy poco frecuente en Suecia, sobre todo porque es costoso y tiene sus propios riesgos (números con carga inversa y similares).
En algunos casos, la recuperación se realiza por correo postal, por ejemplo, enviando un correo postal a la dirección que está en el registro de población.
Pero también hay algunos servicios que hacen verificación por SMS. La razón por la que SMS no está tan difundido es que la mayoría de las personas hoy en día utilizan Whatsapp, iMessage y dichos servicios en su lugar.
Para lo que vale, SMS no es muy seguro como un canal fuera de banda. Lo que he visto en Europa es el uso de un dispositivo móvil registrado como segundo factor. Sin embargo, el token introducido por el usuario (estilo de Google Authenticator) no se utiliza.
En cambio, cuando llega el momento de iniciar sesión, abre una aplicación móvil especial, ingresa un PIN en esa aplicación y la aplicación habla con el sitio de inicio de sesión que dice "aquí está mi token secreto" fuera de banda con la sesión web.
Por lo tanto, el dispositivo más su información de registro / aprovisionamiento más el PIN de usuario para la aplicación de autenticación / ID sirve como segundo factor, que es menos fácil de piratear que el canal de SMS basado en SS7 / número de teléfono.
El proveedor / nombre real de esta tecnología se me escapa, pero estoy seguro de que alguien más lo ayudará.
Lea otras preguntas en las etiquetas password-reset multi-factor mobile sms