Le informazioni sull'indirizzo sono sensibili per aziende o individui durante la registrazione?

0

Sto progettando un sito web che contiene fornitori esterni per registrarsi e mantenere aggiornate le loro informazioni con l'azienda. Abbiamo già un db con EIN, numeri SSN e i loro indirizzi.

Uno dei miglioramenti richiesti dagli utenti è di visualizzare un elenco di indirizzi quando viene immesso un ein / ssn noto durante la registrazione.

Questo evita di creare un indirizzo duplicato nel back-end per lo stesso indirizzo. Dà anche loro un processo di registrazione più fluido. L'architetto si oppone a questo per motivi di sicurezza.

Posso implementare una funzione di blocco se inserisci più di 3 tentativi non riusciti di indovinare ein / ssn, il tuo account è bloccato per un'ora / giorno.

È abbastanza buono? Qualunque modo alternativo a cui puoi pensare senza permettere a qualcuno di provare ssns e visualizzare gli indirizzi. Esistono standard stabiliti?

    
posta user3586195 26.09.2014 - 01:07
fonte

2 risposte

0

Le informazioni sugli indirizzi sono per lo più nella rubrica. Ci sono molte altre fonti, come i registri delle tasse di proprietà locali; Riesco a trovare il mio indirizzo con una ricerca per nome del database delle tasse di proprietà on line della mia contea. Direi che le informazioni sull'indirizzo non sono "sensibili" nel modo in cui un SSN o un numero di carta di credito sono sensibili.

Potresti essere in grado di placare l'architetto di sistema e rendere la vita più facile agli utenti se chiedi EIN / SSN e il codice postale. Ciò consentirebbe di visualizzare solo gli indirizzi appropriati e richiede che un utente conosca una parte dell'indirizzo per vedere il resto.

    
risposta data 24.01.2015 - 11:17
fonte
0

Bloccare qualcuno dopo aver immesso erroneamente le informazioni per x quantità di volte per x ore / giorni è una buona idea, ma fastidioso per gli utenti, questo aiuta a prevenire Bruteforcing.

Quale potrebbe essere un'alternativa, è che invece di ottenere una lista quando inserisci un numero SSN, devi inserire manualmente l'indirizzo tu stesso, e uno script che controlla se quell'indirizzo è ancora usato (se in uso, dovrebbe ti dico così, con un pulsante per recuperare i tuoi dati di accesso, invia all'indirizzo email assosciated, naturalmente non menzionandolo nell'avviso).

Ciò significa che lo script deve convertire l'indirizzo in una stringa sempre uguale! (senza lettere maiuscole o simboli.), per una facile elaborazione, o anche se possibile, una API / script che controlla se l'indirizzo è il formato giusto / è valido.

è un piccolo passo che richiede 10 secondi in più di vita, ma aggiunge sicurezza, almeno così è come lo farei!

    
risposta data 26.09.2014 - 09:24
fonte

Leggi altre domande sui tag