Es difícil demostrar que una práctica es un estándar de la industria, pero presentaré algunos escenarios que he encontrado.
Veamos algunas de sus restricciones:
- Los usuarios deben presentarse solo con su propia PII cuando utilizan el sistema
- Los usuarios no deben poder buscar la PII de otros usuarios
- Los usuarios no necesariamente conocen o recuerdan la ID (clave) que les ha sido asignada
Su escenario de 10 datos de perfil permutados al azar no parece aceptable, especialmente si revela una PII real sin autenticación. Por ejemplo, alguien que sabe que la persona lo reconocerá o puede validar un perfil es real mediante referencias cruzadas. contra otras bases de datos PII filtradas. Bien puede romper las regulaciones de protección de datos.
Parece que su organización ya aprovisionó cuentas de usuarios para almacenar su PII y la introdujo con una identificación única global. Deberá crear un sistema de autenticación que ayude a los usuarios a iniciar sesión y acceder a su información aprovisionada. Este sistema debería permitir una variedad de escenarios de autenticación ya que no todos los usuarios podrán usar su ID asignada.
Inicie sesión con el ID único global
Este es un escenario común con las organizaciones, pero no necesariamente el más fácil. Normalmente, antes de que el usuario interactúe por primera vez con la plataforma en línea, es muy probable que la organización haya estado en contacto con él por otros medios.
Si su organización está en comunicación con el usuario por cualquier medio (por ejemplo, correo electrónico o correo postal), puede ser una buena idea especificar de manera proactiva la identificación única global, por ejemplo, como encabezado, ya que esto debería ayudar con la "Olvidando el ID" problema. Al conocer esta información, el usuario debe poder solicitar que se envíe una contraseña temporal a través del mismo canal para reclamar la cuenta aprovisionada.
El proceso de reclamación puede incluir la verificación de la PII.
Inicia sesión con un correo electrónico o un número de teléfono
Ahora, suponiendo que los usuarios no conozcan su ID única global asignada, deberían sin embargo conocer su propia dirección de correo electrónico o número de teléfono.
Si un usuario ingresa su número de teléfono o correo electrónico, puede buscarlo y compararlo con la base de datos. Si hay una coincidencia (es decir, la recopilación de datos fuera de línea y la entrada digital funcionaron sin error), entonces puede enviar una contraseña temporal a esa misma dirección de correo electrónico o número de teléfono (por ejemplo, como un texto). Debería ser una apuesta segura suponer que tienen el control personal del correo electrónico o el número de teléfono que acaban de ingresar . El usuario puede ingresar esta contraseña temporal y proceder a verificar y reclamar su cuenta de usuario.
Sin embargo, no debe reconocer que la dirección de correo electrónico o número de teléfono existe o no existe en su base de datos, y en su lugar, simplemente indique que se tomará una acción si la entrada fuera válida.
Algunos pensamientos más
Ahora entiendo que hablé sobre "reclamar una cuenta de usuario". Acepto que puede ser una barrera para algunos usuarios crear o poseer otra cuenta de usuario y recordar otra vez otra contraseña, especialmente para algo en lo que iniciarían sesión una vez al año como máximo. Puede medir la dificultad de requerir que configuren una contraseña personal para reclamar la cuenta, pero a la larga esto puede ser beneficioso. Creo que el proceso de reclamación es más engorroso que la administración de cuentas de usuario "normal", por no mencionar que es menos seguro. .
Tenga en cuenta que quizás también deba pensar en un procedimiento de asistencia al usuario y, por lo tanto, en un teléfono u otro procedimiento de verificación.
En contraseñas "temporales": debe decidir si deben estar limitadas en el tiempo o si solo se desactivarán una vez que se usen la primera vez (contraseñas de un solo uso).
También he visto un proceso que utiliza el nombre y la dirección postal como forma de identificación, y la contraseña se enviaría en una carta a esta dirección. Ahora me siento un poco menos cómodo con este, ya que requeriría una intervención manual por parte de la ONG para evaluar la validez de la solicitud; el nombre y la dirección conocidos pueden diferir con la información especificada en la solicitud de contraseña, por lo que el operador debe verificar manualmente si coinciden de forma plausible (es decir, diferente formato, acentos, etc.). Esto está abierto al error humano, así que no lo recomiendo, a menos que tenga los recursos y la mano de obra para garantizarlo.