Rilascio informazioni password per telefono [duplicato]

Dipenderà da cosa ti preoccupa. L'uso di SMS come mezzo di comunicazione "out-of-band" è normale per molti servizi importanti. Ma devi arrivare alla tua conclusione sul fatto che sia ancora troppo esposto per i tuoi clienti. Ad esempio, hai la verifica indipendente del numero SMS prima della trasmissione?

Senza conoscere l'intero ambiente oi fattori di rischio, farei attenzione a complicare eccessivamente le misure di sicurezza. Assicurati di non creare un'infrastruttura di sicurezza che costa di più dei rischi, ei costi includono l'usabilità e le relazioni con i clienti. Ma quei costi sono qualcosa che solo tu puoi valutare.

Il problema principale è la verifica dell'identità. Stai concedendo l'accesso a qualcuno e in futuro il nome utente assegnato è, in un certo senso, portando avanti la verifica che l'identità richiesta dello username corrisponda alla persona appropriata. La password è quindi ciò che rende difficile per un'altra persona rivendicare illegittimamente tale identità.

Nel tuo processo preesistente, stai facendo una verifica faccia a faccia. Quali criteri stai utilizzando per dimostrare tale identità nello scenario faccia a faccia: guardi gli ID, chiedi loro di rispondere alle domande o fai affidamento su qualcun altro (ad es. Il loro responsabile) che garantisce per loro?

Nello scenario offline, dovrai fare affidamento su "segreti" o almeno difficile da ottenere informazioni. Il verificatore avrebbe bisogno di accedere a determinate informazioni che sarebbero difficili da conoscere per qualcuno. Questa dovrebbe essere una combinazione degli attributi " qualcosa che conosci ", che potrebbe includere informazioni sulla loro posizione, data di assunzione, data di nascita, ecc. Potrebbero anche fornire i valori chiave dei documenti che rivederei per una situazione faccia a faccia.

La difficoltà e la quantità dovrebbero essere basate sul rischio per fornire ragionevole certezza che questa sia la persona giusta. Dipenderà dalle informazioni disponibili che devi verificare e in che modo costoso vuoi rendere l'esperienza in termini di ottenimento di tali informazioni. Ad esempio, se vai a ottenere il tuo rapporto annuale gratuito sul credito da link ti chiederanno informazioni su prestiti, ipoteche, ecc. . quali persone in generale non condividono e sarebbe costoso acquistare. Ci sono servizi che puoi usare che forniranno questo a un utente e potresti quindi fornire loro un codice che viene fornito solo se possono essere verificati con successo.

A seconda della configurazione, puoi anche fare affidamento sul fornire all'utente "qualcosa che hai". Ad esempio, se invii loro un codice via posta o usi anche un SMS, è meno probabile che un impostore possa fornire quel valore al telefono.

In definitiva, dipenderà dal modo in cui si desidera bilanciare costi, rischi e tempi con la profondità che si vuole essere. Una maggiore sicurezza sarà più costosa e potrebbe richiedere più tempo. Potresti essere in grado di coprire i costi diretti esternalizzando a un fornitore di fiducia. Avremmo bisogno di sapere più specifiche delle informazioni di base che hai e delle reali esigenze aziendali (hai solo postulato il modo in cui gli utenti potrebbero reagire).

Condivido le password utilizzando LastPass. Basta fare molta attenzione quando si digita l'indirizzo e-mail del destinatario (il login LastPass) nella finestra di dialogo Condividi. Ovviamente, devi avere fiducia che l'account con cui stai condividendo è il loro.