C'è un modo conveniente per un rappresentante CS di verificare l'id del chiamante senza compromettere la sicurezza (troppo)?

3

A questo punto, stiamo eseguendo questo hashing, salando e archiviando i primi tre caratteri delle password dei clienti in una tabella e eseguendo l'hashing, salendo e memorizzando la password completa in un'altra tabella.

BCrypt viene utilizzato per l'hashing e SQL Server per l'archiviazione.

Quando un cliente chiama il nostro servizio clienti, il rappresentante ha la possibilità di verificare l'id del chiamante chiedendo (tra le altre cose) i primi tre caratteri della sua password.

Il sistema utilizzato per questo è dietro tutti i tipi di misure di sicurezza e in nessun modo esposto tramite GUI esterna o API.

Tenendo presente il risultato desiderato, verifica l'ID del chiamante in modo facile e veloce, esiste un modo più sicuro per ottenere gli stessi vantaggi?

    
posta Martin R-L 08.09.2017 - 11:55
fonte

1 risposta

2

(Per gli altri utenti interessati alla memorizzazione separata dei primi tre caratteri, l'altra domanda del richiedente su tale tecnica qui ha alcune risposte solide e dettagliate, che spiegano perché estrarre un sottoinsieme di informazioni segrete come una password di accesso potrebbe non essere ottimale).

Più in generale, ci sono un paio di modi canonici per verificare l'identità. La maggior parte coinvolge chiedere al cliente informazioni sul fatto che sia il cliente che l'azienda di solito sanno solo :

  • Attività recente . Ad esempio, se fosse un istituto finanziario, potresti chiedere loro di descrivere l'importo, il commerciante e la data di una transazione recente.

  • Dati sulla cronologia dei crediti . Se la tua azienda ha accesso alle informazioni sulla cronologia dei crediti (tipi di prestito e importi, indirizzi precedenti, ecc.), Puoi sfruttare queste informazioni.

  • Password supporto account . Separato dalla password utilizzata dal cliente per accedere direttamente ai servizi, è sufficiente che il cliente fornisca (al momento della registrazione) una password che verrà A) archiviata sui server in testo normale, e B) venga utilizzata solo dal servizio clienti per verificare l'identità del cliente.

Puoi anche inserire, in aggiunta a quanto sopra e selezionare a caso, altre informazioni che sono naturalmente raccolte al momento dell'iscrizione e archiviate (indirizzo, data di nascita, ultimo di SSN, ecc.) . Per ovvi motivi, questi sarebbero usati solo per integrare le domande di cui sopra e dovrebbero essere adattati in base al modello di business.

    
risposta data 29.11.2017 - 06:47
fonte