migliori pratiche per la gestione della registrazione automatica?

Naviga le tue risposte
4

Ad esempio, con l'attivazione / registrazione della carta di credito di una banca, tale utente è tenuto ad autenticarsi con un codice univoco inviato al loro indirizzo. Se non ricevono quel mailout-with-the-code, sarebbero SOL.

Con questo in mente, vorremmo creare un sistema di auto registrazione per un sito in cui un potenziale registrante potesse accedere e registrarsi autonomamente alla creazione di un account rispondendo con successo ad alcune informazioni di identificazione personale (SSN, DOB, indirizzo ecc. .) che abbiamo già in archivio.

Ovviamente, questo sembra meno sicuro che richiedere quell'elemento a più fattori del codice di attivazione.

Ho esaminato molti dei trucchi di autenticazione OWASP e ho sfruttato le migliori pratiche del settore di elaborazione dei pagamenti e ho sorvolato PCI DSS, ma non riesco a trovare qualcosa che possa indicare lo scenario che stiamo pianificando implementare per l'auto-registrazione sarebbe minimamente "accettabile" o non conforme.

Qualche suggerimento?

    
posta khangtt 03.09.2015 - 23:01
fonte

1 risposta

1

Mi asterrò dall'usare dettagli che, nonostante siano identificabili personalmente, sono disponibili anche ad altre persone. Non so quanto sia segreto il SSN negli Stati Uniti, ma qui in Europa è del tutto possibile che qualcuno possa conoscere il mio SSN. Data di nascita: è sul mio facebook. Indirizzo: è nella rubrica pubblica.

Devi trovare un dato che è accessibile solo a te e al registrante al momento della registrazione e soddisfa un qualche tipo di identificazione allo stesso tempo . Si tratta di chiedere "Sei davvero tu che stai registrando?" tramite altri mezzi rispetto alla sessione corrente del browser. Se non hai già un'email o un numero di telefono, sarà molto difficile.

Se invii fatture o altri tipi di lettere, puoi chiedere l'ultimo numero di fattura. Ma ancora, questo potrebbe essere trovato nei rifiuti di carta da parte di qualcuno e lui potrebbe registrarsi a nome della povera vittima.

L'unica autenticazione a 2 fattori che potrebbe funzionare è inviare una lettera per posta con un codice di autenticazione. Ciò richiederebbe alcuni giorni, ma è piuttosto difficile da intercettare poiché l'utente malintenzionato dovrebbe vivere nella stessa casa e deve essere in grado di controllare la posta ogni giorno.

Stai facendo affari con i pagamenti? È delicato, quindi è tuo dovere identificare veramente quelle persone correttamente.

    
risposta data 28.09.2015 - 16:34
fonte

Leggi altre domande sui tag

Avvicinati agli affari con vulnerabilità di sicurezza Bypass file_exists [rfi, lfi] nel mio codice, è possibile?