Mantenere un ex o un coniuge attuale dall'accesso a un account

Naviga le tue risposte
3

Sto lavorando per migliorare la sicurezza di un'applicazione per qualcosa di simile al pagamento dell'assistenza ai minori. Detto ciò, se la persona sbagliata accede alla nostra applicazione, può diventare molto pericolosa per l'utente. Purtroppo, ci sono stati diversi casi in cui un ex o un coniuge attuale ha avuto accesso a un account o registrato come uno dei nostri utenti.

La sfida più grande è rappresentata dai nostri dati demografici: molti dei nostri utenti sono persone che hanno bisogno di proteggere le loro informazioni da qualcuno con cui potrebbero vivere, lavorare, conoscerne un po 'o ancora condividere un dispositivo che può essere utilizzato per accedere al proprio account. Inoltre, alcuni dei nostri utenti vivono in aree molto remote e potrebbero non avere i mezzi per incontrarsi con un lavoratore in uno dei nostri uffici. Senza un'interazione faccia a faccia, è difficile per noi essere sicuri di chi sta veramente creando un account o richiedendo l'accesso.

Al momento, parte del nostro processo di sicurezza include l'invio di una lettera nella mail con un codice di verifica. Tuttavia, molti utenti odiano questo, poiché possono richiedere fino a due settimane per ricevere la lettera. Inoltre, se vivono ancora con il loro ex o coniuge, non c'è modo di sapere quale di loro riceverà il codice di sicurezza.

Riguardo alle domande di sicurezza : quali domande potrebbero non sapere un coniuge? Se qualcuno potesse indovinare le risposte, sarebbero loro. Inoltre, se l'account è stato creato in modo fraudolento, ciò non farebbe che peggiorare le cose per tutti.

Inoltre, non possiamo imporre agli utenti di incontrarsi direttamente con un dipendente per la verifica, in quanto alcuni dei nostri utenti non hanno i mezzi per recarsi in uno dei nostri uffici.

Quando si tratta di utilizzando SMS e un numero di cellulare , si teme ancora che un malintenzionato utilizzerà il proprio numero solo quando crea un account fraudolento o ha accesso al cellulare dell'utente.

Senza essere in grado di incontrare una persona, come puoi essere certo di essere quello che dicono di essere, invece di un ex ben informato, quando si crea un account o si richiede la reimpostazione della password / nome utente?

    
posta invot 01.06.2018 - 21:51
fonte

2 risposte

4

Ora ci sono alcune opzioni.

  • Nella vita reale

    1. assumere un notaio.

  • Online con (esternalizzato) umano

    1. Notaio online utilizzando una web cam
    2. scansione e verifica dell'identificazione (patente di guida, ecc.). Ci sono servizi che fanno questo, ma impostano un account appaltatore elance / upwork per vederlo in azione. Guarda anche il modulo INS che i datori di lavoro devono utilizzare per verificare che il loro nuovo noleggio sia cittadino statunitense.

  • Online con umani che impieghi

    1. chiama la persona
    2. chiedi alla persona di inviarti un'email mentre sei al telefono con loro

  • Automatizzato online

    1. testo e chiamata vocale
    2. invia posta ordinaria
    3. livello / genitore / verifica vocale dell'amico
    4. deposita denaro in un conto bancario per verificare che abbia accesso
    5. usa plaid / yodlee per verificare che possano accedere a un conto bancario (questo è simile a ciò che fa mint.com)
    6. i fornitori di telefoni cellulari hanno un'alleanza che fornisce il telefono cellulare alle informazioni dell'utente

Non tutti i tuoi clienti hanno comunque bisogno del pieno accesso.

Un cliente dovrebbe sapere quale delle opzioni funzionerà per loro.

La soluzione migliore è utilizzare un conto bancario: le banche conoscono le leggi del Cliente che richiedono loro di accettare gli ID prima di aprire i conti. Anche se non a prova piena, è un grande miglioramento rispetto a ciò che è là fuori altrimenti. E se la tua app è finanziariamente correlata, non è un grande passo per chiedere all'utente di accedere al proprio conto bancario.

Cosa non fare:

  1. NON usare domande di sicurezza
risposta data 01.06.2018 - 23:59
fonte
2

Without being able to meet with a person, how can you best be certain that they are who they say they are, instead of a well-informed ex, when creating an account or requesting a password/username reset?

Non puoi. Non puoi davvero conoscere qualcuno senza conoscerli.

Le indagini di persona faranno probabilmente parte di una verifica dell'identità ragionevolmente affidabile.

Per ulteriori informazioni, puoi consultare il documento del governo degli Stati Uniti in merito ... alcuni dei quali sono contenuti nella sezione 2 FIPS 201-2 ( link ).

    
risposta data 02.06.2018 - 00:10
fonte

Leggi altre domande sui tag

In che modo gli hacker trovano vulnerabilità nei sistemi operativi closed source? Differenza tra STRIDE e Mitre ATTACCO