È accettabile che il servizio clienti chieda il mio PIN?

2

Ho provato ad avviare una chat online con il servizio clienti di un'azienda che sto cercando di fare affari con questo fine settimana, ma prima che rispondessero a una qualsiasi delle mie domande mi hanno chiesto di fornire loro il PIN di 4 cifre associato al mio account. Per tutti gli effetti, questa è la mia password, in quanto questo insieme al mio indirizzo e-mail è tutto ciò che è necessario per accedere al mio account e fare qualsiasi cosa. (Sì, il fatto che siano solo 4 cifre numeriche non è particolarmente rassicurante!)

Ho risposto che non mi sentivo a mio agio a dare queste informazioni, visto che era quasi una pratica standard di sicurezza per mai fornire la tua password a nessuno, ma si sono praticamente rifiutati di parlare con me se non avessi dato loro questa informazione. Visto come quando ho creato l'account dovevo anche dare una "domanda di sicurezza" (es. Qual era il nome del tuo primo animale domestico, quel genere di cose) ero anche perplesso sul motivo per cui non avrebbero semplicemente chiesto che .

Sto esagerando, o sono giustificato nel rifiutare di fornire queste informazioni? Per quello che vale l'unico altro modo di parlare con questa azienda è per telefono, il che è molto scomodo. (Aggiornamento: non che ciò sia particolarmente rilevante, ma da quello che hanno detto sembra che richiederebbero il mio PIN per parlare al telefono too .)

    
posta Michael 23.05.2016 - 17:34
fonte

3 risposte

6

La tua azione è giustificata da me. Non mi è mai stato richiesto da nessuna azienda importante e rispettosa tali informazioni, né per un servizio, né per il recupero dell'account. Invia un messaggio al team di supporto ufficiale e vedi se queste informazioni sono effettivamente necessarie se questa cosa ti causa un sacco di disagi. Ma attenzione: potresti essere truffato.

    
risposta data 23.05.2016 - 17:45
fonte
2

Sono totalmente d'accordo con la risposta di @ChrisTsiakoulas che la tua azione è giustificata. Tuttavia, purtroppo, questa pratica non è così rara come vorremmo tutti. Intendo questa risposta per aggiungere un po 'più di colore alla situazione del mondo reale con tali pratiche.

Mi sono imbattuto nello scenario esatto che descrivi , sebbene fosse con una password "corretta" (indicata come password e che consente lettere e numeri) anziché un PIN strettamente numerico.

Dopo aver creato l'account online e scelto una password che sembrava essere richiesta solo per quel log-in online - Mi è stato anche richiesto di fornire verbalmente la password al telefono a un essere umano per poter autenticare me stesso prima che tutto potesse essere fatto con il mio account.

Questo era con PlusNet , un importante (popolare, grande budget, ben pubblicizzato) ISP nel Regno Unito. Sono rimasto sorpreso dalla richiesta della mia password: dopo aver ulteriormente interrogato il servizio clienti, ho scoperto che erano in grado di mettere una nota sul mio file per chiedermi la mia risposta di sicurezza invece della mia password. Tuttavia, allo stesso tempo, ho scoperto che ogni volta che chiamavo, l'operatore stava visualizzando la mia password completa in testo normale sul loro schermo, prima di chiedermi qualsiasi tipo di domanda di autenticazione.

Ho sollevato una vera e propria tempesta su questo, incluso un reclamo formale tramite la loro procedura di reclamo, e riferendoli ai dati personali del Regno Unito "cane da guardia", il ICO . La mia argomentazione è che un processo così insicuro ha gravemente compromesso la sicurezza delle informazioni personali che detenevano su di me (compresi i dettagli bancari, dal momento che li pago tramite addebito diretto). Tuttavia, purtroppo sia la denuncia interna che il mio caso 'ICO' hanno portato l'altra parte a non vedere o riconoscere che c'era qualcosa di sbagliato in questa situazione. Sembra che, almeno nella legge del Regno Unito, questa pratica sia del tutto accettabile e non in contrasto con la nostra legislazione sulla protezione dei dati.

Nota, non ho dovuto telefonare a PlusNet da molto tempo (anche se li uso ancora) quindi non posso confermare se questa è la politica corrente. È possibile che abbiano cambiato pratiche dal mio reclamo, indipendentemente dal fatto che la mia denuncia fosse di per sé infruttuosa.

    
risposta data 20.06.2016 - 00:40
fonte
0

Sfortunatamente, anche oggi ci sono alcune grandi aziende in cui un agente del servizio clienti umano che ti chiede (tramite chat, telefono o altri mezzi) di comunicare loro il tuo PIN, password o passcode è una pratica regolare.

Per prendere una categoria molto importante di queste situazioni qui negli Stati Uniti, quando chiami il servizio clienti per una delle quattro grandi compagnie mobili nazionali non è affatto raro che un rappresentante umano, in carne e ossa, ti chieda di dire loro PIN come parte del processo di autenticazione di cui si è effettivamente titolari dell'account. Inoltre, alcuni dei principali corrieri richiederanno persino che tu comunichi il tuo PIN a un rappresentante quando entri in uno dei negozi fisici di un corriere e ricevi un servizio clienti faccia a faccia . Per saperne di più su come & quando potresti dover fornire un PIN a un agente umano per un corriere statunitense, potresti consultare AT & ; La politica di T sull'argomento. Oppure T-Mobile's . Oppure Sprint's . Il punto è che questa è ancora una procedura di servizio clienti comune in questo settore di esempio molto, molto importante. (Senza dubbio vero anche in alcuni altri.)

Ora, per essere chiari, il problema qui non è certo che le aziende richiedono al cliente di fornire un PIN per accedere al proprio account o apportare modifiche al proprio servizio. Infatti, richiedere un PIN è un approccio molto, molto migliore rispetto al semplice consentire ad un titolare di un account putativo di autenticarsi con informazioni personali statiche (come le ultime quattro cifre del loro numero di previdenza sociale) che oggi possono essere raccolte abbastanza facilmente da fonti pubbliche o illecite . Il problema, come hai identificato, è in che modo il cliente deve fornire il PIN . Ora, la maggior parte delle grandi aziende in questi giorni nella maggior parte dei settori industriali fa le cose nel modo giusto: il cliente inserisce il proprio numero di conto (o altro identificativo utente) e il proprio PIN in una sorta di sistema informatico sicuro - sia tramite telefono touchtone che con un servizio clienti sistema di chiamata, una pagina protetta che un cliente deve autenticare su un sito Web, o un chiosco o un blocco PIN per le situazioni in-store, prima che vengano inviati a un agente di supporto umano. Il PIN / password / passcode / qualsiasi cosa non dovrebbero essere forniti direttamente a una persona di supporto. Periodo. Ma, ahimè, nel 2016 non possiamo ancora dire che tutte le principali entità che potrebbero essere rispettate.

    
risposta data 20.06.2016 - 08:28
fonte

Leggi altre domande sui tag