Un flusso di verifica è la sequenza di controlli che un servizio usa per confermare che una persona sia il legittimo titolare dell'account prima di concedere l'accesso o consentire modifiche sensibili. Può includere link via email, codici monouso, reinserimento della password, autenticazione a più fattori o domande di recupero. Nelle piattaforme moderne, lo stesso flusso può anche bloccare modifiche al profilo, registrazione del dispositivo, aggiornamenti dell'email e recupero dell'account.
Questo è importante perché la verifica è spesso l'ultimo controllo che protegge un account dopo che una password è stata indovinata, riutilizzata o rubata. Gli aggressori cercano di aggirare i flussi di verifica con il phishing dei codici, prendendo il controllo delle caselle di posta, intercettando i link di sessione o sfruttando processi di recupero deboli. I difensori progettano flussi più robusti usando autenticazione step-up, codici a breve durata, controlli del rischio, conferma del dispositivo e MFA sulla stessa email di recupero. Nei servizi che collegano profili o autorizzazioni a un indirizzo email, il flusso di verifica diventa parte del modello di accesso, non solo una comodità di accesso.



