Работа с потерянным двухфакторным токеном авторизации

Я пытаюсь найти решение с точки зрения поставщика веб-услуг для решения проблемы потери 2FA-маркера данным пользователем службы. Допустим, пользователь потерял свой токен вместе с кодами аварийного резервного копирования и просит помощи. Какой самый лучший (самый безопасный) способ продолжить? Как на самом деле проверить личность пользователя, не требуя предоставления личных данных? Некоторые службы просто запрещают доступ навсегда в таких ситуациях, но это не вариант.