Non sono d'accordo con alcuni dei miei colleghi e suggerisco che la soluzione della Banca è molto più sicura della tua alternativa proposta. Anche se non è l'ideale neanche. Diamo un'occhiata a ciascuna soluzione e al suo profilo di attacco.
Indirizzo, SSN, DOB, ecc.
Dovremmo essere tutti in grado di convenire che si tratta di idee assolutamente terribili. I fatti rendono orribili le password e non dovrebbero mai essere usati. Nessuna eccezione. Letteralmente no eccezioni. Se qualcuno può cercarlo, non puoi usarlo per autenticarti. Periodo. Quasi tutte le domande di sicurezza cadono inosservate su questa regola. È imbarazzante. Questa tecnica viene sfruttata frequentemente, spesso con obiettivi di alto profilo. Dovremmo sapere meglio ma continuiamo ad usarlo. Questo deve fermarsi.
Password del sito web
Anche se non è l'ideale, questo risolve il problema della ricerca. Può ancora essere utilizzato con hashing sicuro poiché il rappresentante del supporto deve digitare la password letteralmente per verificarlo anziché leggerlo dallo schermo. I tuoi potenziali attacchi sono: (a) qualcuno che ascolta può riutilizzarlo per impersonare te al telefono, e (b) qualcuno che ascolta può usarlo sul sito web. Tuttavia, se più aziende lo facessero, saremmo molto più sicuri. Possiamo fare di meglio, ma almeno non devi preoccuparti di qualcuno che sta cercando in quale strada sei cresciuto o le ultime cifre del numero della tua carta di credito e poi usare quella informazione per prendere il controllo del tuo account.
Pin di call-in
Questa è la soluzione di Godaddy. Hai un numero di 4 cifre sul tuo account che devi fornire quando chiami il supporto. È meglio che risolva il problema (b) sopra - non puoi usare il call-in pin per accedere al sito web. Ma il problema (a) rimane. Il pin non cambia a meno che non lo si ripristini, quindi un utente malintenzionato che ascolta la tua conversazione può impersonare te. Oltre al sotto, altre "call in passwords" tendono a rientrare in questa categoria e sono suscettibili di "replay attack".
Codice di accesso singolo
Questa è la soluzione di PayPal, ed è la migliore soluzione disponibile. Quando fai clic su "contattaci" sul tuo account PayPal, ti viene fornito un codice di accesso a 6 cifre a tempo limitato a uso singolo che devi fornire al telefono. Scade dopo 60 minuti o dopo averlo usato una volta, quindi un intercettatore non può impersonare te. Ed è casuale quindi non può essere previsto. Se hai intenzione di implementare una soluzione per te stesso, questo è il modo per farlo. PayPal ha fatto questo per molti anni e finora ha funzionato per loro.
Il modo di autenticare al telefono "dimmi alcuni fatti su di te", come hai suggerito, in realtà non dovrebbe essere consentito; è un peccato che così tante aziende lo facciano. Dare la password del tuo sito web al telefono è molto meglio (per essere onesti, tutto è meglio), ma presenta alcuni problemi. Autenticare online e ottenere un codice segreto una tantum: questa è una soluzione che posso rispettare.
Si noti che il fatto che la banca sia disposta a rinunciare a chiedere il proprio SSN o indirizzo, ecc. è il vero scandalo qui. Se rifiuti di autenticarti in modo sicuro, dovresti dare a non l'opportunità di fornire alcuni fatti sulla vittima che stai cercando di impersonare.