从本质上讲，处理这个问题围绕着一些因素的组合，这些因素可以用来确保请求重置的用户是对帐户具有权限的同一个人。

正如您在问题中所指出的那样，其中一个问题往往出现在将密码重置系统改装到现有应用程序的地方，因为最初可能没有收集到所需的信息。

我见过的方法包括

• 电子邮件地址。我主要在用户使用该地址注册的网站上看到这一点，因此它被用作重置位置。如果您有此信息且没有其他信息，则它可能是一个可行的解决方案。
• 短信。在大多数情况下，手机往往是特定人独有的，因此重置为手机（通过语音通话或短信）可能是一个不错的选择。
• 经管理层批准在线重置。设置繁重，但我见过系统，如果提出密码重置请求，电子邮件会发送给“批准”的人（例如经理），然后这些人确认请求（在大公司中很方便以降低帮助台成本）
• 我见过的一个糟糕的选择（从安全的角度来看）是确认公司可能拥有的关于员工的一些个人信息（例如，员工 ID、经理姓名、部门名称等）这可能是合理的外人，但内部用户已经知道这个的风险很大

最终，与经理核对选项也很常见，希望用户能够理解不是 IT 人员不信任他们，而是 IT 人员必须确保其他人在未经授权的情况下不会访问他们的帐户。

其他一些方法：

• 网站上的“秘密问题”/“秘密答案”对
• 询问有关账户使用的具体问题（例如：您昨天进行了多少股票交易？本周？）
• 需要打电话要求重设密码。例如：“嗨，BlahBlah 公司，我试图访问我的帐户，它说它已被锁定，我应该给你打电话。是的，我可以提供一些信息。是的，我可以说出一个特定的短语，这样你就可以记录和比较我的嗓音。”
• 需要从某个令牌（如 OTP）通知一些数据。例如：要使用一个站点，您只需使用您的密码，但要“解锁”它，您必须输入一些数据，这些数据位于生成一次性密码的令牌中，或者位于他们发送给您的纸卡中，等等。在日常使用中，您只需要一个密码，无需一直随身携带令牌。

我还看到了服务台会在哪里要求另一个授权用户，而不仅仅是一个经理。他们利用授权用户的秘密问题（通过电话这很愚蠢，但是嘿），然后该用户验证他们知道他们知道正在重置密码的用户。非常适合在全球范围内分布较薄的大公司或旅行顾问。