Ad esempio, con l'attivazione / registrazione della carta di credito di una banca, tale utente è tenuto ad autenticarsi con un codice univoco inviato al loro indirizzo. Se non ricevono quel mailout-with-the-code, sarebbero SOL.
Con questo in mente, vorremmo creare un sistema di auto registrazione per un sito in cui un potenziale registrante potesse accedere e registrarsi autonomamente alla creazione di un account rispondendo con successo ad alcune informazioni di identificazione personale (SSN, DOB, indirizzo ecc. .) che abbiamo già in archivio.
Ovviamente, questo sembra meno sicuro che richiedere quell'elemento a più fattori del codice di attivazione.
Ho esaminato molti dei trucchi di autenticazione OWASP e ho sfruttato le migliori pratiche del settore di elaborazione dei pagamenti e ho sorvolato PCI DSS, ma non riesco a trovare qualcosa che possa indicare lo scenario che stiamo pianificando implementare per l'auto-registrazione sarebbe minimamente "accettabile" o non conforme.
Qualche suggerimento?