O que você está procurando é chamado de redefinição de senha de autoatendimento. Ele ainda tem um acrônimo (SSPR) e faz parte do gerenciamento de identidade e acesso.
Cargas de fornecedores publicam soluções para isso e, embora as recomendações de produtos não estejam no tópico aqui, os fornecedores incluem IBM, Hitachi ID Systems, Microsoft e Courion.
Geralmente esta é a oferta mais barata e básica. No entanto, na maioria das vezes, essa funcionalidade é baseada em credenciais secundárias (na maioria das vezes, questões de segurança ou "você sabe a senha da sua conta em qualquer coisa ?").
Pelo menos um dos fornecedores que mencionei acima oferece uma solução pronta, muito semelhante ao que você está falando, embora o trabalho com telefones seja consideravelmente menos comum entre esses produtos.
Claro, isso altera sua área de cobertura de segurança. Se você puder garantir que o portal seja acessível somente dentro da empresa (isso é realmente muito difícil), sua lista de números de telefone está atualizada e os telefones são seguros contra roubo (ou são telefones fixos internos), isso é mais fácil. Se os telefones forem os telefones pessoais dos funcionários, o elo mais fraco do sistema se tornará o roubo ou comprometimento de um deles. Certifique-se de que você está bem com isso antes de prosseguir.
Tenha em mente também que o comprometimento necessário para uma redefinição de senha do helpdesk é geralmente apenas engenharia social e, possivelmente, conhecer as respostas às perguntas que o pessoal do suporte técnico pode solicitar (se houver), portanto não é muito provável que o SSPR seja seu elo mais fraco. Esta é uma falha frequentemente negligenciada nas empresas.Construindo isso com o asp.net e o lync geralmente não é um bom plano. Você estará confiando nesse serviço com uma conta que pode redefinir as senhas em quase todas as outras contas e, portanto, é um alvo extremamente grande para o comprometimento. Eu não gostaria de confiar em alguns scripts que eu rapidamente hackeei juntos.