Mantener a un ex o cónyuge actual de acceder a una cuenta

Navega tus respuestas
3

Estoy trabajando para mejorar la seguridad de una aplicación para algo parecido a pagar manutención infantil. Dicho esto, si la persona equivocada obtiene acceso a nuestra aplicación, puede ser muy peligroso para el usuario. Lamentablemente, ha habido varios casos en los que un ex o un cónyuge actual obtuvo acceso a una cuenta o se registró como uno de nuestros usuarios.

El mayor desafío es nuestro grupo demográfico: muchos de nuestros usuarios son personas que necesitan proteger su información de alguien con quien podrían estar viviendo, trabajar, saber algo acerca de ellos o aún compartir. Un dispositivo que se puede utilizar para acceder a su cuenta. Además, algunos de nuestros usuarios viven en áreas muy remotas y pueden carecer de los medios para reunirse con un trabajador en una de nuestras oficinas. Sin una interacción cara a cara, es difícil para nosotros estar seguros de quién está realmente creando una cuenta o solicitando acceso.

En este momento, parte de nuestro proceso de seguridad incluye enviar una carta por correo con un código de verificación. Sin embargo, muchos usuarios odian esto, ya que pueden tardar hasta dos semanas en recibir la carta. Además, si aún viven con su ex o cónyuge, no hay manera de saber cuál de ellos recibirá el código de seguridad.

Con respecto a preguntas de seguridad : ¿qué preguntas no sabría un cónyuge? Si alguien pudiera adivinar las respuestas, serían ellas. Además, si la cuenta se creó de manera fraudulenta, esto solo empeoraría las cosas para todos.

Tampoco podemos obligar a los usuarios a reunirse directamente con un empleado para su verificación, ya que algunos de nuestros usuarios no tienen los medios para viajar a una de nuestras oficinas.

Cuando se trata de usar SMS y un número de teléfono , todavía existe la preocupación de que una persona maliciosa solo usará su número cuando cree una cuenta fraudulenta o tenga acceso al teléfono celular del usuario.

Sin poder reunirse con una persona, ¿cómo puede estar mejor seguro de que es quien dice ser, en lugar de un ex bien informado, cuando crea una cuenta o solicita una contraseña / restablecimiento de nombre de usuario?

    
pregunta invot 01.06.2018 - 21:51
fuente

2 respuestas

4

Hay algunas opciones ahora.

  • En la vida real

    1. contratar un notario.

  • En línea con humanos (subcontratados)

    1. Notario en línea usando una cámara web
    2. escanear y verificar la identificación (licencia de conducir, etc.). Hay servicios que hacen esto, pero configuran una cuenta de contratista de elance / upwork para verlo en acción. También mire el formulario del INS que los empleadores deben usar para verificar que su nuevo empleado es un ciudadano estadounidense.

  • En línea con humanos que empleas

    1. llamar a la persona
    2. pídale a la persona que le envíe un correo electrónico mientras está hablando por teléfono con ellos

  • automatizado en línea

    1. texto y llamada de voz
    2. enviar correo postal
    3. verificación de voz de capa / padre / amigo
    4. depositar efectivo en una cuenta bancaria para verificar que tienen acceso
    5. use plaid / yodlee para verificar que puedan acceder a una cuenta bancaria (esto es similar a lo que hace mint.com)
    6. los proveedores de teléfonos celulares tienen una alianza que proporciona teléfonos celulares a la información del usuario

Sin embargo, no todos los clientes necesitan el nivel completo de acceso.

Un cliente debe saber cuál de las opciones funcionará para ellos.

La mejor opción es usar una cuenta bancaria: los bancos tienen leyes de Conozca a su cliente que les exigen que acepten identificaciones antes de abrir cuentas. Si bien no es una prueba completa, es una gran mejora con respecto a lo que hay de otra manera. Y si su aplicación está relacionada financieramente, no es un gran paso pedirle al usuario que inicie sesión en su cuenta bancaria.

Qué no hacer:

  1. NO utilice preguntas de seguridad
respondido por el Jonathan 01.06.2018 - 23:59
fuente
2
  

Sin poder reunirse con una persona, ¿cómo puede estar seguro?   que son quienes dicen ser, en lugar de un ex bien informado,   al crear una cuenta o solicitar una contraseña / restablecer nombre de usuario?

No puedes. Realmente no se puede conocer a alguien sin conocerlo.

Es probable que la investigación en persona sea parte de cualquier verificación de identidad razonablemente confiable.

Para obtener más información, puede consultar la opinión del gobierno de EE. UU. sobre el tema ... parte de la cual está incluida en la Sección 2 de FIPS 201-2 ( enlace ).

    
respondido por el hft 02.06.2018 - 00:10
fuente

Lea otras preguntas en las etiquetas

diferencia entre STRIDE y Mitre ATTACK ¿Por qué un ataque de hombre en el medio no puede ocurrir con RSA?