标签: security authentication multi-factor multi-factor-authentication
说我有一个身份验证系统,它要求一个主电子邮件地址和密码,并且对于2要素身份验证,我们然后通过短信将代码发送到用户的电话号码。如果用户无法使用手机,我们必须帮助他们恢复帐户。许多站点提供5或10个恢复代码作为备份机制。我们可以简单地使用备用电子邮件地址或备用电话号码吗?我们将用他们必须验证的代码通过电子邮件/文本发送他们的备份。这种恢复方法的优缺点是什么?