Come richiedere in modo sicuro ulteriori informazioni personali / verifica dell'account?

Naviga le tue risposte
2

Poiché è una cattiva pratica chiedere agli utenti di fare clic su un URL all'interno di un messaggio di posta elettronica per verificare la propria identità a causa di problemi di phishing, qual è il modo migliore per chiedere a un utente che siano necessarie ulteriori informazioni PII?

Il seguente esempio di Stripe.com richiede un indirizzo email e un URL successivo su cui fare clic.

Oltre a inviare via email all'utente finale, quali altri canali sono i migliori per richiedere queste informazioni?

Se l'e-mail è l'unica scelta, qual è l'approccio migliore per garantire che l'utente faccia effettivamente clic sul link e proceda con la verifica. Il nostro obiettivo è limitare i carrelli abbandonati nel caso in cui l'utente non veda o ignori questa richiesta.

    
posta random65537 09.08.2016 - 22:07
fonte

1 risposta

1

Questo tipo di scenario presenta essenzialmente un compromesso tra usuabilità e sicurezza e l'opzione che decidi di fare dipenderà dalla propensione al rischio della tua organizzazione.

Idealmente, dal punto di vista della sicurezza, non dovresti incoraggiare gli utenti a fare clic sui link nella posta elettronica data la mancanza di affidabilità della posta elettronica e la prevalenza delle frodi di phishing che comportano il fatto che gli utenti facciano clic sui collegamenti nella posta.

Quindi l'opzione migliore da questa prospettiva sarebbe quella di inviare una mail al cliente (o contattarlo tramite un altro canale se hanno fornito i dettagli di contatto) e chiedere loro di andare al sito stesso nel browser, accedere e vai da lì.

Ovviamente questa non è una grande esperienza per l'utente ed è per questo che molte aziende scelgono di mettere link in e-mail affinché le persone facciano clic. Quindi, se lo fai, alcune cose da considerare

  • Cerca di evitare l'uso di siti di tracciamento dei clic di terze parti, quindi almeno l'utente verrà indirizzato al tuo dominio e potrà verificarlo, assumendo che sappia cosa cercare, naturalmente.
  • Considera di firmare digitalmente le tue e-mail. Ancora una volta sono sicuro che molti utenti non se ne accorgeranno, ma aiuta coloro che sono più consapevoli della sicurezza ad avere maggiore fiducia che la posta sia legittima.
risposta data 09.08.2016 - 22:57
fonte

Leggi altre domande sui tag

Perché aggiungere una slitta di nop alla fine dello shellcode? Come escludere il backslash dall'esclusione di xss?