¿mejores prácticas para manejar el auto-registro?

4

Por ejemplo, con la activación / registro de una tarjeta de crédito, se requiere que el usuario se autentique con un código único que se envió por correo a su dirección. Si no obtienen ese correo con el código, serían SOL.

Teniendo esto en cuenta, nos gustaría hacer un sistema de registro automático para un sitio en el que un posible solicitante de registro pueda iniciar sesión y registrarse de forma automática para crear una cuenta respondiendo con éxito alguna información de identificación personal (SSN, DOB, dirección, etc.). .) que ya tenemos archivados.

Obviamente, esto parece menos seguro que requerir ese elemento multifactorial del código de activación.

He revisado muchas hojas de trucos de autenticación de OWASP y he revisado las mejores prácticas de la industria de procesamiento de pagos y he pasado por alto el DSS de PCI, pero parece que no puedo encontrar algo que indique que el escenario en el que estamos planeando la implementación para el registro automático sería mínimamente "aceptable" o no conforme.

¿Alguna sugerencia?

    
pregunta khangtt 03.09.2015 - 23:01
fuente

1 respuesta

1

Me abstendré de usar detalles que, a pesar de ser personalmente identificables, también están disponibles para otras personas. No sé cuán secreto es el SSN en los Estados Unidos, pero aquí en Europa es muy posible que alguien supiera mi SSN. Fecha de nacimiento: está en mi facebook. Dirección: Está en la agenda pública.

Debe encontrar un dato al que solo usted y el registrante puedan acceder en el momento del registro y que satisfagan algún tipo de identificación al mismo tiempo . Todo se reduce a preguntar "¿Realmente eres tú quien se está registrando?" a través de algún otro medio que no sea la sesión actual del navegador. Si aún no tiene un correo electrónico o número de teléfono, esto será muy difícil.

Si está enviando facturas o algún otro tipo de cartas, puede solicitar el último número de factura. Pero aún así, esto podría ser encontrado en el desperdicio de papel por alguien y él podría registrarse en nombre de la víctima pobre.

La única autenticación de 2 factores restante que funcionaría es enviar una carta por correo con algún código de autenticación. Esto llevaría unos pocos días, pero es bastante difícil de interceptar, ya que el atacante tendría que vivir en la misma casa y debería poder revisar el correo todos los días.

¿Estás haciendo negocios de pago? Es delicado, por lo que es tu obligación identificar realmente a esas personas correctamente.

    
respondido por el flohack 28.09.2015 - 16:34
fuente

Lea otras preguntas en las etiquetas