Il problema principale è la verifica dell'identità. Stai concedendo l'accesso a qualcuno e in futuro il nome utente assegnato è, in un certo senso, portando avanti la verifica che l'identità richiesta dello username corrisponda alla persona appropriata. La password è quindi ciò che rende difficile per un'altra persona rivendicare illegittimamente tale identità.
Nel tuo processo preesistente, stai facendo una verifica faccia a faccia. Quali criteri stai utilizzando per dimostrare tale identità nello scenario faccia a faccia: guardi gli ID, chiedi loro di rispondere alle domande o fai affidamento su qualcun altro (ad es. Il loro responsabile) che garantisce per loro?
Nello scenario offline, dovrai fare affidamento su "segreti" o almeno difficile da ottenere informazioni. Il verificatore avrebbe bisogno di accedere a determinate informazioni che sarebbero difficili da conoscere per qualcuno. Questa dovrebbe essere una combinazione degli attributi " qualcosa che conosci ", che potrebbe includere informazioni sulla loro posizione, data di assunzione, data di nascita, ecc. Potrebbero anche fornire i valori chiave dei documenti che rivederei per una situazione faccia a faccia.
La difficoltà e la quantità dovrebbero essere basate sul rischio per fornire ragionevole certezza che questa sia la persona giusta. Dipenderà dalle informazioni disponibili che devi verificare e in che modo costoso vuoi rendere l'esperienza in termini di ottenimento di tali informazioni. Ad esempio, se vai a ottenere il tuo rapporto annuale gratuito sul credito da link ti chiederanno informazioni su prestiti, ipoteche, ecc. . quali persone in generale non condividono e sarebbe costoso acquistare. Ci sono servizi che puoi usare che forniranno questo a un utente e potresti quindi fornire loro un codice che viene fornito solo se possono essere verificati con successo.
A seconda della configurazione, puoi anche fare affidamento sul fornire all'utente "qualcosa che hai". Ad esempio, se invii loro un codice via posta o usi anche un SMS, è meno probabile che un impostore possa fornire quel valore al telefono.
In definitiva, dipenderà dal modo in cui si desidera bilanciare costi, rischi e tempi con la profondità che si vuole essere. Una maggiore sicurezza sarà più costosa e potrebbe richiedere più tempo. Potresti essere in grado di coprire i costi diretti esternalizzando a un fornitore di fiducia. Avremmo bisogno di sapere più specifiche delle informazioni di base che hai e delle reali esigenze aziendali (hai solo postulato il modo in cui gli utenti potrebbero reagire).