Come mantenere la validità delle credenziali dell'utente?

Naviga le tue risposte
1

In uno scenario di esempio, considera che;

  1. Sono un cliente dell'organizzazione e ho due account separati con due diversi reparti X e Y.
  2. Posso accedere al sito web di ciascun dipartimento utilizzando l'ID utente e la password che è univoco per ogni dipartimento.
  3. Per aggiornare i miei dati personali in qualsiasi iniziativa, devo chiamare questo fornitore di servizi e utilizzare un codice PIN (inviato a me prima, attraverso un canale sicuro). Hanno squadre separate per ogni dipartimento quindi X non sa di Y.
  4. Sebbene disponga di profili / account separati per ciascun dipartimento, tieni presente che il codice PIN è lo stesso sia che io chiami il dipartimento X o Y.
  5. In questo scenario, entrambi i reparti presentano diversi livelli di azioni consentite associate al codice PIN. Ad esempio, non sono autorizzato a modificare il mio indirizzo quando si chiama il dipartimento X con questo PIN perché è considerato un fattore di autenticazione di livello inferiore. Tuttavia, se voglio fare lo stesso nel dipartimento Y, posso essere autorizzato a farlo perché è considerato un fattore di autenticazione di livello superiore.

Ora i problemi che vedo in questo schema sono:

  1. Un truffatore che ha in qualche modo sfiorato i miei dettagli di base, come Nome, DOB, ecc. può chiamare il dipartimento X chiedere questo PIN (che può essere ironicamente assegnato al telefono) perché è considerato consentire solo operazioni a basso rischio. Di conseguenza, una volta che il frodatore ha ricevuto questo PIN, può chiamare nel dipartimento Y e apportare modifiche senza essere messo in discussione perché consente operazioni ad alto rischio.
  2. Il secondo problema è che lo stesso numero PIN viene utilizzato per due diversi reparti.

Ora la mia domanda è che considero che non posso avere codici PIN separati e che non possono avere lo stesso livello di autenticazione ad essi associato per X e Y.

  1. Che cosa può fare l'organizzazione per impedire l'uso fraudolento del codice PIN tra diversi dipartimenti

  2. Esiste un modo per mantenere la validità delle credenziali associando il cambio di ambito (reparto che ripristina / riemette il codice PIN) e l'estensione (modifica delle informazioni personali) al codice PIN. In modo che l'uso improprio possa essere interrotto.

posta Khurram Majeed 22.08.2014 - 12:56
fonte

1 risposta

2

Questa organizzazione dovrebbe avere un punto di atterraggio specifico per i clienti per ricevere / verificare / modificare il loro codice PIN, che non dipende dai dipartimenti, e il personale del dipartimento dovrebbe essere addestrato a non fornire queste informazioni proprio come non darebbe ad altri dati personali sensibili informazioni.

La ragione è che non puoi chiedere ai dipartimenti di ragionare sulla sensibilità del codice PIN se non sanno cosa stanno facendo gli altri (o lo faranno in futuro) con questo PIN. Inoltre, sarebbe molto più costoso impostare un meccanismo organizzativo o tecnologico per i dipartimenti per verificare la sensibilità del PIN in situ in modo che possano decidere se divulgarlo per telefono o meno. È più semplice avere un team separato per gestire il PIN, in modo che sia possibile creare, aggiornare e applicare una politica univoca.

Si noti che a questo punto ha molto senso disporre di un sistema di gestione degli account tra reparti con una certa quantità di riutilizzo delle informazioni. Hai già bisogno di questo per un tale PIN (anche se devo dire che il problema principale probabilmente è che il PIN esiste in primo luogo).

    
risposta data 22.08.2014 - 13:20
fonte

Leggi altre domande sui tag

Archiviazione password in 1 password e altre applicazioni simili per la memorizzazione di password Si possono leggere le password mascherate sulle interfacce utente iOS?