Estoy proponiendo el uso de un sistema de inicio de sesión que envíe un token de inicio de sesión (con alta entropía) por correo electrónico al usuario. Después de usar el token, el usuario recibe otro token por correo electrónico y el token anterior se invalida. El nuevo token se envía con información sobre el uso del último token, por lo que si alguien obtiene acceso a un token de alguna manera, el usuario lo sabrá.
La implementación que he recibido ha sido excelente en cuanto a UX, pero estoy enfrentando mucha presión por parte de personas que no son de tecnología para "probar" que esto es seguro. Además, a nuestro equipo de marketing le preocupa que sea difícil enseñarle a los clientes.
Aparte de la vida útil de los tokens de inicio de sesión únicos (pueden durar un par de semanas), ¿qué hace que esto sea diferente a la funcionalidad de contraseña olvidada? Además, y aquí es donde esta pregunta no es tan fácil de responder como otras que son relativamente similares aquí, ¿hay compañías respetadas que hayan implementado un esquema de inicio de sesión como este y hay algunos documentos que puede recomendar que señalo para probar el seguridad de este sistema?