Devo fare una presentazione sullo sviluppo di un piano di autenticazione per un'applicazione di servizi finanziari utilizzata per gestire un portafoglio di investimenti. Devo sviluppare scenari di utilizzo per le 2 funzioni (depositare denaro in un fondo e ritirarlo). Come sarebbero diversi gli scenari di utilizzo?
L'autenticazione, come la maggior parte delle azioni di sicurezza, dovrebbe corrispondere al rischio.
Considera il deposito - qual è il rischio presentato da un deposito errato (potenzialmente fraudolento)? Da un punto di vista strettamente finanziario, l'impatto è limitato al rimborso del deposito. (ci sono situazioni legali in cui potrebbe essere più grande).
Considera il ritiro: qual è il rischio presentato da un prelievo errato? È almeno il doppio dell'importo - hai un obbligo in buona fede di rimborsare il titolare del conto per il denaro a te affidato, inoltre perdi l'importo ritirato. Ci sono rischi secondari per la tua reputazione nei confronti del titolare del conto, del beneficiario dell'errore e del pubblico / degli altri titolari di conti. Ci sono anche probabili conseguenze legali / normative.
Come sarebbero diverse le autenticazioni? Ovviamente l'autenticazione del deposito è a un livello inferiore di garanzia. La transazione di prelievo dovrebbe probabilmente richiedere un'autenticazione e un'assicurazione più elevate; l'autorizzazione dovrebbe probabilmente essere limitata a una piccola serie di destinazioni concordate e dovrebbe avere una pista di controllo più rigorosa.
Come si aumenta il livello di affidabilità della transazione? Fortunatamente ci sono molte risorse che aiuteranno in questo.
Personalmente - penso che entrambi gli scenari differiscano. Pensalo come un normale salvadanaio; è facile mettere i soldi nel porcellino salvadanaio, è più difficile portarlo fuori.
Supponendo che un utente malintenzionato desideri "rubare denaro", saresti più preoccupato quando verrà effettuato un prelievo. Quando il denaro viene depositato, suppongo che la sicurezza si trovi nell'autenticazione / autorizzazione dall'altra parte. Se, come hai detto nel tuo commento, il denaro viene prelevato da un account, potresti voler effettuare controlli extra (l'attacco è che un utente malintenzionato potrebbe "bloccare" i fondi di qualcuno investendoli in un piano a lungo termine, influire sulla liquidità del cliente.)
In generale, un controllo per assicurarsi che l'utente previsto volesse eseguire una transazione è buono. Molte banche utilizzano un token hardware che verifica un codice PIN e l'importo della transazione.
gli scenari differirebbero solo con l'azione di prelevare e depositare, ma non capisco la tua domanda tutti insieme, ma PENSO che intendi, se hai bisogno di un'autenticazione diversa per entrambi.
bene, prova ad usare un po 'di ciò che le banche usano (almeno qui, nei Paesi Bassi) devi autorizzarti ad accedere all'ambiente web, e quindi usare un metodo di autenticazione in due fasi per ogni azione che fai ( depositare, inviare denaro ecc.).
Quando si fa un progetto, guardare gli altri aiuta, provare l'idea, l'autenticazione per l'accesso e l'autenticazione per l'azione: 3
Leggi altre domande sui tag authentication financial money