Rilascio informazioni password per telefono [duplicato]

1

Abbiamo un portale riservato per i clienti. Storicamente sono stati identificati di persona e consegnati un numero di token univoco associato al loro indirizzo e-mail e che consente loro l'accesso iniziale al proprio account. Una volta effettuato l'accesso, possono impostare il proprio nome utente e password. Voglio essere in grado di emettere questo numero di token senza un incontro faccia a faccia, ma sono preoccupato di quali misure devo prendere per verificare l'identità. Mi sento a disagio nel prendere le informazioni iniziali e nel dare il numero di token nella stessa chiamata. Potrei spedire il numero di token ma i clienti vogliono un accesso più rapido. Posso inviare il numero di token via email con ragionevole sicurezza? Usa SMS?

    
posta deulberg 30.04.2014 - 22:07
fonte

3 risposte

0

Dipenderà da cosa ti preoccupa. L'uso di SMS come mezzo di comunicazione "out-of-band" è normale per molti servizi importanti. Ma devi arrivare alla tua conclusione sul fatto che sia ancora troppo esposto per i tuoi clienti. Ad esempio, hai la verifica indipendente del numero SMS prima della trasmissione?

Senza conoscere l'intero ambiente oi fattori di rischio, farei attenzione a complicare eccessivamente le misure di sicurezza. Assicurati di non creare un'infrastruttura di sicurezza che costa di più dei rischi, ei costi includono l'usabilità e le relazioni con i clienti. Ma quei costi sono qualcosa che solo tu puoi valutare.

    
risposta data 01.05.2014 - 00:44
fonte
0

Il problema principale è la verifica dell'identità. Stai concedendo l'accesso a qualcuno e in futuro il nome utente assegnato è, in un certo senso, portando avanti la verifica che l'identità richiesta dello username corrisponda alla persona appropriata. La password è quindi ciò che rende difficile per un'altra persona rivendicare illegittimamente tale identità.

Nel tuo processo preesistente, stai facendo una verifica faccia a faccia. Quali criteri stai utilizzando per dimostrare tale identità nello scenario faccia a faccia: guardi gli ID, chiedi loro di rispondere alle domande o fai affidamento su qualcun altro (ad es. Il loro responsabile) che garantisce per loro?

Nello scenario offline, dovrai fare affidamento su "segreti" o almeno difficile da ottenere informazioni. Il verificatore avrebbe bisogno di accedere a determinate informazioni che sarebbero difficili da conoscere per qualcuno. Questa dovrebbe essere una combinazione degli attributi " qualcosa che conosci ", che potrebbe includere informazioni sulla loro posizione, data di assunzione, data di nascita, ecc. Potrebbero anche fornire i valori chiave dei documenti che rivederei per una situazione faccia a faccia.

La difficoltà e la quantità dovrebbero essere basate sul rischio per fornire ragionevole certezza che questa sia la persona giusta. Dipenderà dalle informazioni disponibili che devi verificare e in che modo costoso vuoi rendere l'esperienza in termini di ottenimento di tali informazioni. Ad esempio, se vai a ottenere il tuo rapporto annuale gratuito sul credito da link ti chiederanno informazioni su prestiti, ipoteche, ecc. . quali persone in generale non condividono e sarebbe costoso acquistare. Ci sono servizi che puoi usare che forniranno questo a un utente e potresti quindi fornire loro un codice che viene fornito solo se possono essere verificati con successo.

A seconda della configurazione, puoi anche fare affidamento sul fornire all'utente "qualcosa che hai". Ad esempio, se invii loro un codice via posta o usi anche un SMS, è meno probabile che un impostore possa fornire quel valore al telefono.

In definitiva, dipenderà dal modo in cui si desidera bilanciare costi, rischi e tempi con la profondità che si vuole essere. Una maggiore sicurezza sarà più costosa e potrebbe richiedere più tempo. Potresti essere in grado di coprire i costi diretti esternalizzando a un fornitore di fiducia. Avremmo bisogno di sapere più specifiche delle informazioni di base che hai e delle reali esigenze aziendali (hai solo postulato il modo in cui gli utenti potrebbero reagire).

    
risposta data 03.05.2014 - 00:31
fonte
0

Condivido le password utilizzando LastPass. Basta fare molta attenzione quando si digita l'indirizzo e-mail del destinatario (il login LastPass) nella finestra di dialogo Condividi. Ovviamente, devi avere fiducia che l'account con cui stai condividendo è il loro.

    
risposta data 03.05.2014 - 01:22
fonte

Leggi altre domande sui tag