¿Cómo verifico a un usuario por teléfono?

3

Tenemos usuarios, nos pueden llamar por teléfono. ¿Cómo validamos que los usuarios son quienes dicen ser?

Aquí hay algunas soluciones posibles:

  1. Verifique información personal como la fecha de nacimiento: el DOB se puede adivinar en Facebook y Linkedin + hay problemas de protección de datos relacionados con el almacenamiento del DOB

  2. Verifique el número de teléfono del usuario: me dijeron que es fácil para un atacante reenviar llamadas a un dispositivo que ellos controlan

  3. Cree una base de datos de preguntas y respuestas de seguridad: tendríamos que crear y mantener una base de datos

¿Hay una forma estándar robusta de hacer esto?

    
pregunta UEFI 05.07.2017 - 17:57
fuente

2 respuestas

3

Confiar en la información de conocimiento público es problemático. Es poco probable que el almacenamiento de preguntas y respuestas de seguridad personal se escale bien si muchos otros adoptan el mismo enfoque.

Si desea autenticar a alguien que está usando su servicio , hágales preguntas sobre su asociación con usted. Los ejemplos incluyen:

  1. Proporcione a todos los usuarios un número de cuenta, número de transacción para el problema, etc.
  2. Pregunte sobre transacciones / pedidos pasados (y asegúrese de que esto sea algo a lo que puedan acceder fácilmente)

Volver a llamarlos a un número de teléfono dado también es un enfoque útil y agrega defensa en profundidad. Sin embargo, debe pensar en la autenticación mutua: ¿cómo puede asegurarse de que el usuario confíe en la llamada? Si se hace correctamente, esto puede aumentar aún más la seguridad de su sistema.

Asegúrese de utilizar algún tipo de limitación de velocidad y realice un seguimiento de los intentos de autenticación. Asegúrese de que estos intentos se comuniquen al usuario "fuera de banda".

    
respondido por el Jedi 05.07.2017 - 19:42
fuente
2

La premisa de la identificación sin que se basen físicamente en la capacidad de verificar información que el público no podría conocer fácilmente. Por lo general, tienen que verificar información como los últimos cuatro números del seguro social en los EE. UU., En algunos casos, los empleados reciben una identificación de empleado y una frase de contraseña que se asigna al azar a ese nombre de usuario específicamente para esta circunstancia. Además, a veces se les pide que identifiquen cosas como números de cuenta, direcciones en el archivo, etc.

    
respondido por el SeaniS 05.07.2017 - 18:24
fuente

Lea otras preguntas en las etiquetas