给定一个帐户重置程序，通常会有一些恢复问题，在更好的实现中，将发送一个链接以通过电子邮件或 SMS 确认密码更改。因此，攻击者需要信息和访问权限才能使用密码重置机制进行帐户接管。

这些控件通常对 Internet 上的一些随机攻击者非常有用，但我想关注家庭成员何时成为攻击者（例如，父母试图进入孩子的帐户，男朋友/女朋友试图访问伴侣的帐户等.)。在这种情况下，此人很可能知道任何个人挑战问题的答案（母亲的娘家姓、第一辆车、三年级老师），并且还可能物理访问受害者的电话或 PC。我们还假设受害者不是一个有安全意识的人，所以他们在选项卡中打开他们的电子邮件并且没有屏幕保护程序密码，并且他们的手机受到他们生日的密码保护。

作为一名安全人员，我总是为安全问题的答案添加胡言乱语，并通过加密存储答案，但由于受害者真的不想与密码管理器打交道，不知道加密是什么等等。我们不能依靠用户采取对策来保护他/她自己，因为受害者可能合法地需要使用这些答案来恢复他/她的帐户。

知道存在物理安全问题并且信息不为人所知，服务提供商可以实施哪些对策或控制来帮助保护用户免受具有物理访问权限的家庭成员/朋友的攻击者的侵害。

答案应该在服务提供商方面，因为目标是保护不成熟的最终用户。