Perché la mia banca si preoccupa di fare domande personali di base per accedere al servizio di banking online?

Naviga le tue risposte
6

Per accedere al mio banking online, devo rispondere a una domanda personale di base come "Qual è il nome da nubile di tua madre" o "Qual è il secondo nome di tuo nonno", così come inserire un codice monouso da un codice -generatore.

A me sembra che il 99% se non tutta la sicurezza provenga dal generatore di codici monouso. La domanda personale è così semplice e facile per qualcuno da scoprire che sembra non aggiungere nulla al processo.

Ciò che mi incuriosisce è che sembra quasi intenzionalmente semplice e facile. La banca avrebbe potuto chiedermi di creare una password più sicura, ma non l'hanno fatto.

La mia ipotesi è che volevano aggiungere due fattori, ma non volevano confondere gli utenti con un requisito per una password sicura e per il dispositivo generatore di codice.

Esiste una buona ragione per richiedere una domanda di base e insicura?

    
posta Hugh Grigg 葛修远 05.03.2014 - 00:59
fonte

1 risposta

6

Sono d'accordo che questa è una cattiva pratica. Puoi renderlo più efficace rimescolando le risposte in molti modi: facendo domande su tuo padre riferisciti alla tua prima auto e viceversa, e così via, o dando risposte false o date risposte IRRILEVANTI (se riesci a ricordare cosa le tue risposte irrilevanti erano), scoraggerebbe / preveniresti gli attacchi di social engineering. Non c'è nulla nel loro sistema che richiede che tu risponda onestamente, solo in modo coerente.

Alcuni sistemi ti permetteranno di inserire le tue domande, il che è un enorme miglioramento poiché incoraggia a scegliere cose che fungono da password più sicure.

Tuttavia ... Ho visto solo questi usati per proteggere una specifica operazione, quella di reimpostazione della password, che è ulteriormente handshaked (handshook? controllato, comunque) dall'interazione con la cassetta postale del proprietario dell'account. Ovviamente anche la casella di posta potrebbe essere stata violata, ma si tratta probabilmente di due meccanismi meno sicuri che ne sommano uno quasi tollerabile.

Vale comunque la pena lamentarsi con la tua banca, comunque. Se ci sono abbastanza persone che si lamentano, potrebbero migliorarlo.

    
risposta data 05.03.2014 - 01:12
fonte

Leggi altre domande sui tag

È possibile visualizzare un messaggio di posta elettronica in Outlook 2013 installare malware sul mio computer? Un sito Web di un medico può trovarsi su un server non HIPAA?