Dando per scontato il fatto che il server DNS collegato al dominio utilizzato nell'email legata all'account non abbia problemi di sicurezza e che i server non siano compressi, restano due problemi rilevanti (ma forse di più): chi smista o detiene le email è affidabile? (IMAP tiene tutte le email sul server di arrivo o dove sono allocate le caselle) E lo scambio avviene in modo più sicuro possibile? Yahoo, google, la maggior parte degli exchange usa tunnel SSL o TLS per le connessioni tra gli SMTP (il servizio che si occupa di inviare e ricevere la posta tra i vari domini), quindi gli unici a conoscerne il contenuto sono chi invia e chi riceve. Ma se si utilizza un provider con SMTP che non implementa i tunnel, oppure si decide di fare il forward dei messaggi ad un SMTP configurato per non implementare i tunnel, le email passeranno tutte in plain text, rendendo impossibile sapere chi ne è a conoscenza e chi no.
Concordo ma in un'epoca in cui tutte le comunicazioni sono intercettate non mi fiderei a spostare grandi capitali facendo affidamento sul fatto che i server attraverso cui passa la mia email siano sicuri, non fosse altro che potrebbero essere sotto controllo di malintenzionati che aspettano il colpaccio per svelare il loro network di server compromessi.
Sono d'accordo, ma anche questo sistema ha i suoi svantaggi: per esempio si necessita di una chiave privata salvata su file e di conoscere una password per accederci, cosa molto semplice da ottene attraverso trojan. Oltrettutto PGP e GPG sono veramente poco usati e non semplici da utilizzare, infatti nonostante esistano da molto tempo, sono in pochi ad usarlo. In uno smartphone poi la vedo piuttosto complicata come cosa.
Perciò a mio parere usare una mail per resettare o impostare password o confermare transazioni può non dare nessun vantaggio in sicurezza, anzi.
La sicurezza e la semplicità sono stati quasi per principio sempre antitetici. Diciamo che più che le somme si alzano e più il sistema per proteggersi deve essere complesso. Se ci sono somme basse in gioco allora basta poco per proteggersi ma man mano che le cifre diventano importanti per il truffatore allora occorre rivolgersi a strumenti via via più complicati e ostici da usare.
Per esempio nel caso dell'email GNUpg e nel caso dei cellulare versioni più difficili da comprare e utilizzare in modo da avere sistemi software sempre up to date e magari attenti alla sicurezza. Usare la tecnica del mal comune mezzo gaudio non funziona, nascondersi nel branco e quindi cercare una protezione mimetica non funziona, voglio dire che affidarsi a un smartphone android Galaxy non è una buona scelta secondo me e neppure un iPhone, troppo comuni e orientati all'uso facile a discapito della sicurezza.
Idem per i pc.