Ho letto su un post diverso su KBA , che è un'identità concetto di verifica che afferma di verificare una persona chiedendola a cose di cui solo questa persona è a conoscenza, raccolte da "informazioni pubbliche".
Il mio primo pensiero è stato che, quando ho avuto accesso ai loro dati essendo un cliente per loro e utilizzando il servizio, non potevo fingere di essere chi mai mi piacerebbe semplicemente chiedendo di verificare quella specifica identità e quindi basta passare quell'informazione?
Questo è un caso di misure di sicurezza specifiche implementate per affrontare minacce specifiche.
Il tipo di autenticazione basata sulla conoscenza che stanno offrendo è una sicurezza abbastanza debole, ma ciò non significa che sia inutile. Come hai osservato, e divulgano sulla loro pagina, vengono raccolti da informazioni pubbliche, il che significa che, sì, in teoria, chiunque potrebbe visualizzare tali informazioni da sole, impersonare chiunque sia protetto da questo servizio e ottenere l'autenticazione. È abbastanza simile alla tecnica AVS comunemente usata negli Stati Uniti per combattere le frodi con carta di credito . Anche questa informazione è generalmente disponibile al pubblico e quindi non ha alcun valore nel fermare un determinato avversario. Tuttavia, ha ancora i suoi usi e è stato incredibilmente efficace nell'impedire determinati tipi di frodi con carta di credito .
Questo tipo di autenticazione avrebbe un caso d'uso simile nel prevenire determinati tipi di frodi elettroniche o l'uso non autorizzato, e dichiarano uno di questi casi d'uso sulla loro pagina prodotto:
The FTC issued a letter approving the use of KBA as a method of obtaining prior verifiable parental consent under the Children’s Online Privacy Protection Act (COPPA).
I bambini che accumulano banconote di grandi dimensioni tramite acquisti in-app e altri dispositivi elettronici sui loro telefoni cellulari sono da tempo un problema primario, quindi una soluzione a tale problema è preziosa per le aziende che sono vulnerabili a tale minaccia e anche un costo relativamente basso di un tale sistema è un fattore importante.
Questo prodotto sarebbe molto efficace nel prevenire la frode automatizzata da malware o bot che tentano di aprire account per le persone, come un altro esempio. Non ha senso implementare un costoso sistema di sicurezza di livello militare solo per verificare il consenso dei genitori per gli acquisti in-app in Candy Crush, o per impedire ai bot di iscriversi agli account nel tuo webstore, ma un prodotto come questo probabilmente colpirebbe il giusto equilibrio tra sicurezza e costi.
Leggi altre domande sui tag attack-vector