Bom artigo.
É interessante que o processo de recuperação de senha é justamente um dos pontos mais vulneráveis e suscetíveis a falhas. Quando o cliente informa que perdeu o acesso ao telefone e/ou e-mail, a situação eventualmente vai ser resolvida por um humano. Fator humano – erro de funcionários é causa de ~70% dos incidentes de segurança da informação.
Eu acho razoável presença na agência, ou confirmação em caixa eletrônico utilizando biometria, ou talvez cartão com chip.