Dovremmo confermare altri dettagli personali prima delle domande di sicurezza durante il reset della password?

3

Sono stato incaricato di lavorare su uno strumento di reimpostazione della password per il sito Web della mia azienda. Questo strumento consente a un addetto all'assistenza di fornire una nuova password di reimpostazione al telefono nel caso in cui il cliente non riceva l'e-mail o sia bloccato dal proprio account e-mail.

Ora, in primo luogo, direi personalmente che non è l'ideale in quanto ritengo che esistano altri metodi, come la ricezione di un codice di ripristino tramite telefono; tuttavia, poiché apparentemente non è un'opzione, mi è rimasta l'attività.

Così mi è stato chiesto di aggiungere 2 domande di sicurezza agli account degli utenti, in cui le domande sono preselezionate (dall'utente) su circa 14 domande. L'idea è che un utente chiama e riceve le domande e se entrambe le risposte sono corrette, la password verrà ripristinata e assegnata all'utente finale.

Durante la creazione del modulo di ripristino sono andato avanti e ho deciso di aumentare la sicurezza per aggiungere un codice postale (società e clienti del Regno Unito) e il loro numero di contatto principale, entrambi richiesti al momento dell'iscrizione. Il processo è quindi: prendi gli e-mail degli utenti, conferma il codice postale e il numero di telefono principale, chiedi le risposte alle domande di sicurezza - se tutto va bene, allora dai la nuova password.

Il disaccordo che ho avuto è stato con gli altri membri della mia squadra che hanno pensato che questo emendamento non fosse assolutamente necessario. Personalmente ho pensato che sarebbe stato un passo ulteriore dal punto di vista della protezione dei dati e un ulteriore livello di sicurezza.

La mia domanda è: chi ha ragione? Sono troppo protettivo o gli altri membri della squadra sono troppo frettolosi?

    
posta Sparkz 06.04.2017 - 00:29
fonte

1 risposta

2

Personally I thought this would be an additional step from a data protection point of view and an added level of security.

Questo è corretto.

The disagreement I had was with the other members of my team who thought this amendment was completely unnecessary.

Potrebbe anche essere corretto.

Più informazioni puoi ottenere dall'utente, maggiore è la tua sicurezza di essere effettivamente in loro possesso. Ma non è l'unica cosa in gioco. Perché limitare questa idea alla reimpostazione della password? Perché non chiedere loro la data di nascita e il numero di telefono ad ogni accesso? O ogni pagina?

La sicurezza deve sempre essere considerata nel contesto di un modello di minaccia. Che tipo di aggressori hai intenzione di proteggere contro, e che tipo non sei? Ciò richiede un accordo in tutto il business, perché potrebbe variare a seconda del tipo di informazioni che stai memorizzando, o di quanto sia importante UX per la tua attività, o quanto sia la sicurezza di un punto vendita o come sia il tuo budget.

Non possiamo dirti se il tuo piano è troppo (o, peraltro, troppo piccolo) per il tuo prodotto. È un giudizio, e quello che il tuo team dovrà fare.

Ciò che possiamo dire è che è piuttosto comune richiedere solo alcune risposte alle domande sulla sicurezza prima di resettare. Spesso c'è anche un margine di manovra per il rappresentante del servizio clienti, dove possono fare più o meno domande a seconda di come si sentono abbozzati che la persona dall'altra parte sta agendo.

Ma ancora una volta, non c'è una risposta adatta a tutti.

    
risposta data 06.04.2017 - 08:17
fonte

Leggi altre domande sui tag