Come si verifica un utente al telefono?

Naviga le tue risposte
3

Abbiamo utenti: possono chiamarci al telefono. Come convalidiamo che gli utenti sono chi dicono di essere?

Ecco alcune possibili soluzioni:

  1. Verifica le informazioni personali come la data di nascita: DOB può essere indovinato da Facebook e Linkedin + ci sono problemi di protezione dei dati relativi alla memorizzazione di DOB

  2. Verifica il numero di telefono dell'utente: mi è stato detto che è facile per un utente malintenzionato inoltrare le chiamate a un dispositivo che controllano

  3. Crea un database di domande e risposte sulla sicurezza: dovremmo creare e mantenere un database

C'è un modo standard robusto per farlo?

    
posta UEFI 05.07.2017 - 17:57
fonte

2 risposte

3

Affidarsi a informazioni di conoscenza pubblica è problematico. Memorizzare le domande di sicurezza personale + le risposte è improbabile che si adatti bene se molti altri adottano lo stesso approccio.

Se vuoi autenticare qualcuno che sta usando il tuo servizio, fai loro delle domande sulla loro associazione con te. Gli esempi includono:

  1. Assegna a tutti gli utenti un numero di conto, il numero di transazione per il problema, ecc.
  2. Chiedi informazioni sulle transazioni / ordini passati (e assicurati che sia possibile accedervi facilmente)

Chiamarli di nuovo su un determinato numero di telefono è anche un approccio utile, e aggiunge la difesa in profondità. Tuttavia, è necessario pensare all'autenticazione reciproca, in che modo si può garantire che l'utente si fidi della chiamata. Se fatto bene, questo può aumentare ulteriormente la sicurezza del tuo sistema.

Assicurati di utilizzare una qualche forma di limitazione della velocità e traccia quando vengono effettuati i tentativi di autenticazione. Assicurati che questi tentativi vengano comunicati all'utente "out-of-band".

    
risposta data 05.07.2017 - 19:42
fonte
2

La premessa dell'identificazione senza che siano fisicamente dipende dalla capacità di verificare informazioni che non potrebbero essere facilmente conosciute dal pubblico. In genere, devono verificare le informazioni come gli ultimi quattro del numero di previdenza sociale negli Stati Uniti, in alcuni casi ai dipendenti viene assegnato un ID dipendente e una passphrase assegnata in modo casuale a tale nome utente appositamente per questa circostanza. Inoltre, a volte sono richiesti per identificare elementi come numeri di account, indirizzi su file, ecc.

    
risposta data 05.07.2017 - 18:24
fonte

Leggi altre domande sui tag

Quando sosterrai lo storage dei log degli eventi di Sicurezza e Applicazioni nel Cloud? Nesting bcrypt + PHPass per migliorare la sicurezza dell'archiviazione delle password nei software legacy?