我觉得 a 好一点
没有历史数据的话可以考虑直接删号了。。。

嗯...手机号和身份证对比实名认证？有接口

a 方式，选择好友和勾选购买商品是不安全的，理论上可能爆破。邀请好友验证这个，曾经有人利用过这点预先埋伏狙击某些人的 QQ 靓号（预先加好友，潜伏）。另外就像你说的，万一没有历史数据呢
所以 a 方式一般只用在验证一些安全不是很高的场合，比如发现用户从别的 ip 登录，但是密码是正确的时候

1 方式是最安全的，但是有时不现实

目前我见过的逻辑上推敲比较安全的办法是，要求用户重新登录，在能正常登录的状况下，才允许直接用新手机号码代替老手机号码，并且，当手机号码被修改后，老手机号码会收到一条短信提示，手机号码被替换，并且，一般设定 24-48 小时内，用户只要登录后台，是可以取消手机号码切换的（重新切换回老的），并且，在这个时间之内，新手机号码不能被用于接受修改密码短信。

以上这个模型是 QQ 的手机号码切换流程，我推敲过，觉得基本没有漏洞，恶意者就算窃取到密码，只要 qq 的用户在收到短信提醒后立即登录安全中心，取消手机号码切换并理解更改密码，恶意者的攻击就失败了，当然，如果 qq 用户傻逼到收到短信提醒还是无动于衷，错过了安全 24 小时，那就。。。。没救

补充一下，C 方式基本就没救了，一般现在都不考虑用户完全不设置邮箱和手机的救援方式，自己重新注册去吧

写了那么多，完全无视 2FA 了？

给用户授信如果是手机 app 的话，可以接入安卓原生的指纹 API，或者和各大应用商谈个合作，当然是不能把识别是哪一个手指。然后可以你说的 1.和 2.ab 步，
或者推荐#2 花钱用身份证号对手机的 API
再或者还有很多数据比如 ip 的 C 段，手机 IMEI，手机号(安卓可以直接调取，但不是每个 OS 都可以)，或者位置信息，都是鉴别用户的一种方式

密码丢失、没有二次验证手段如密保器之类的前提下，其实最靠谱的还是人工，其次身份证照片+人脸识别+手机实名信息（这样虚拟运营商的手机、国外手机就没办法了），然后才是其他方法比如使用预留的生物信息等。

貌似可以学习微软 在改变密保手机时候 存在一个保留期
给原手机发送短信 然后三十日内可以撤销

@densuc @abcbuzhiming 俩位提到的修改手机号后给原手机一个保留周期，也是一个靠谱的思路哈

@imn1 2FA 的成本贼高，又麻烦，引入额外硬件，你看互联网行业有几个引入的
@yksoft1 这个的前提是在注册时要求人提交身份证信息，照片，手机实名，现在很多人，给个身份证都不愿意，别说照片了。而且安全机制最好不要搞的太麻烦，否则推广就是个大问题

@abcbuzhiming 腾讯很早以前（ 2010 ？）就有密保器了。。

@abcbuzhiming
2FA 好多都有吧，没有的只能说不重视而已
我 Authy 上面都有 30+个了，还没算 yandex、yahoo!jp 这些用自家验证器的
而且 2FA 不一定就是验证器，例如 twitter 可以用 app 验证登录的

@abcbuzhiming 对的，不想设计的太复杂，不然开发起来也费力点，偷下懒~