Com'è comune per una banca richiedere di creare un ID utente e una password quando si effettua il banking? Dovrebbero semplicemente usare un numero predeterminato come la tua carta di credito, o ci sono dei vantaggi se gli utenti hanno degli ID?
Tutte le banche che uso mi richiedono di creare un ID utente. Credo che avere un ID rilasciato sarebbe una sicurezza migliore, ma dal punto di vista del business stai rendendo le cose estremamente spiacevoli per i tuoi utenti.
Non penso che sarebbe realistico assegnare un numero di carta di credito come ID perché gli utenti potrebbero avere più carte di credito o conti sotto la stessa banca, e ancora una volta la banca non vorrebbe rendere le cose difficili per gli utenti . Non dimentichiamo inoltre che tutti sarebbero costretti ad avere nomi utente molto lunghi!
Inoltre, penseresti che il tuo numero di carta di credito sia qualcosa che vuoi mantenere segreto, ma averlo come ID potrebbe danneggiare molto la sicurezza. Immagina lo scenario in cui qualcuno è pigro e digita molto lentamente (forse non ha un tastierino numerico). Quindi, questa persona decide di lasciare il suo numero di carta di credito da qualche parte e copia incolla che quando si va sul sito bancario. Bene, ora è del tutto possibile che questa persona lo inserirà accidentalmente da qualche altra parte se non si ricorda di copiare qualcos'altro negli Appunti.
Tutto sommato sembra solo una situazione di perdita di guadagno
Se gli utenti possono scegliere i loro ID utente, il processo di registrazione per i nuovi utenti si verificherà se un ID utente è già in uso presso la banca. Quando un nuovo utente sceglie un ID utente esistente, la banca dovrà dichiarare che l'ID è già stato prelevato e chiedere all'utente di selezionarne un altro.
È considerata una cattiva prassi perdere gli ID utente esistenti in un sistema, ecco perché le procedure di autenticazione sicure fanno attenzione a non divulgare queste informazioni. L'esempio più ovvio è il messaggio di errore generico che si ottiene immettendo un nome utente / password errati: "Nome utente o password non validi", invece dell'approccio più user-friendly "nome utente non valido" quando il nome utente era errato e "password non valida" quando il nome utente esistente ma la password era sbagliata. Spesso incontri siti che adottano l'approccio corretto all'autenticazione, ma perdono ancora gli ID utente nel loro processo di registrazione.
La scala della perdita varierà con la procedura di registrazione. Se la procedura di registrazione è online, è possibile automatizzare il test degli ID utente per vedere quali sono in uso o meno. Questo dipende da come l'hanno effettivamente implementato, la banca potrebbe ad es. usa CAPTCHA per limitare il successo di tali attacchi.
Quindi, consiglierei un documento di identità rilasciato dalla banca, o il riutilizzo di un ID univoco esistente come un numero di identità nazionale (NIN, varia in tutto il mondo quanto unici / adatti siano).
Qui in Norvegia abbiamo NIN unici e le banche sono tenuti ad averli comunque, quindi sono abbastanza adatti come ID utente.
Vedo i numeri delle carte di credito come ID utente. È passato un po 'di tempo da quando ho lavorato su PCI, ma AFAIK avrebbe sollevato un sacco di problemi PCI per la procedura di autenticazione, quindi non lo consiglierei.
Quando si tratta di servizi bancari online, non ci sono molti vantaggi o svantaggi per gli utenti che fanno gli ID. Le uniche cose che ho trovato sono le seguenti:
Vantaggi -
Informazioni di accesso facili da ricordare. Ciò significa che se non ho la mia carta di credito con me e non ho memorizzato il suo numero, posso accedere al mio account.
Aggiunto livello di protezione. Quello che intendo è che se qualcuno riceve la mia carta di credito non sa già il mio nome utente. La comunità dei giochi ha iniziato ad assumere questo sistema "dual user name". Ciò significa che il tuo nome in gioco non è il tuo nome utente per accedere. Ciò impedisce alle persone di avere già una delle due risposte.
Hashing (correggimi se sbaglio qui potrei essere molto bene). Quando si hash una password si vuole anche "salarla" con qualcosa. Ciò rende più difficile fare qualsiasi cosa con gli hash se vengono ottenuti.
Gestione. Di 'che hai un bambino e il suo nome è Joe. Bene, tu prendi a Joe la sua carta di credito che è attaccata alla tua, invece di dover conoscere la sua password per tenergli dietro puoi scoprire che sta comprando birra e amp; sigarette senza bisogno di chiedergli la password. Puoi anche controllare cose come quanto può spendere questo mese e così via. Questo vale anche per le aziende.
Svantaggi -
Le persone possono dimenticare il loro nome utente. (Anche se puoi ancora autenticarli con altri mezzi)
I nomi utente non sono così lunghi. Dare agli utenti la possibilità di creare i propri nomi può causare problemi a causa del fatto che non scelgono un nome tanto lungo e casuale quanto il numero di una carta di credito. (Tuttavia, gli attaccanti sanno che i numeri delle carte di credito sono tutti numeri dove i nomi utente possono includere lettere e numeri, quindi questo è nell'aria)
Questo è tutto ciò a cui riesco a pensare per ora. Se qualcuno ha il proprio sentirsi liberi di aggiungerlo. (Non mi piace la formattazione di questo, ma non riesco a farlo bene)
Tutte le banche che conosco e faccio servizi bancari online (circa 5 qui in Svizzera) rilasciano un ID utente. E non puoi scegliere l'ID; è solo un numero che ottieni quando richiedi di fare operazioni bancarie online. Ovviamente hai anche bisogno di una password e una password una tantum per accedere. La password che puoi scegliere tu e la password monouso è qualcosa che ottieni dalla tua banca. In passato mandavano un foglio di carta con 100 numeri (numerati) e ogni accesso ti chiedevano il numero X sul foglio. Dopo l'uso lo si eliminerebbe. e quando l'80% del foglio è stato utilizzato, ti hanno inviato un nuovo foglio. Oggigiorno tutte le banche usano token hardware (RSA SecureID, YubiKey, ecc.). Le banche più sicure utilizzano anche le verifiche delle transazioni.
Non collegherei l'id utente a nessun numero esistente, come il numero della carta di credito, perché forse offri un servizio aggiuntivo per il cliente e quindi il client non usa più la carta di credito. Quindi un id utente separato è migliore. Inoltre, non vedo alcun motivo per cui consentire all'utente di scegliere un nome o un numero come suo id, che si traduce solo in conflitti con utenti registrati in precedenza.
Anche avere un ID diverso dal numero della carta di credito è un po 'più sicuro, perché il cliente può perdere / rivelare l'ID e nessuno può fare nulla con quelle informazioni da solo; nessuno può associarlo al cliente o con la carta di credito o altro.
Ovviamente, devi sempre gestire i casi in cui gli utenti dimenticano il proprio ID, come dimenticare la propria password o gli elenchi di password monouso o perdere i loro dispositivi di autenticazione.
Penso che sia una decisione relativamente arbitraria della banca che dipende più dai prodotti che vendono che da qualsiasi altra cosa.
Più prodotti offrono, più è probabile che tu abbia l'opzione per un ID di accesso generico perché i clienti semplicemente non possono avere una carta. La maggior parte ti consente di accedere con il numero della carta però.
È meglio consentire all'utente di avere il proprio ID utente, con l'id utente come numero sia esso un numero di carta o un numero seriale di 5-10 cifre che lo rende suscettibile agli attacchi di blocco degli account.
No ... è estremamente insicuro consentire all'utente di creare un ID utente di sua scelta. In quanto consentirà all'utente di verificare gli userid che esistono proprio come la creazione della posta elettronica.
Ad esempio, se l'utente ha tentato di creare un userid come "stackoverflow" non permetterà di creare se è già esistente. Questo utente non userid di almeno un cliente. Se il cliente ha provato a cambiare, il cliente conoscerà gli userid esistenti.
In questo modo esporrà i dati dei clienti protetti.
Leggi altre domande sui tag authentication