¿Existe una manera conveniente para que un representante de CS verifique la identificación de la persona que llama sin comprometer la seguridad (demasiado)?

3

A partir de ahora, lo estamos logrando mediante el hashing, el salado y el almacenamiento de los primeros tres caracteres de las contraseñas de los clientes en una tabla y el hashing, el salado y el almacenamiento de la contraseña completa en otra tabla.

BCrypt se utiliza para hash y SQL Server para almacenar.

Cuando un cliente llama a nuestro servicio de atención al cliente, el representante tiene la opción de verificar la identificación de la persona que llama solicitando (entre otras cosas) los primeros tres caracteres de su contraseña.

El sistema utilizado para esto está detrás de todo tipo de medidas de seguridad y de ninguna manera está expuesto a través de una GUI externa o API.

Teniendo en mente el resultado deseado, verifique la identificación de la persona que llama de forma rápida y sencilla, ¿existe una forma más segura de obtener los mismos beneficios?

    
pregunta Martin R-L 08.09.2017 - 11:55
fuente

1 respuesta

2

(Para otros buscadores que están preocupados por el almacenamiento separado de los primeros tres caracteres, la otra pregunta del autor de la pregunta aquí tiene algunas respuestas sólidas y detalladas, explicando por qué la extracción de un subconjunto de información secreta como una contraseña de inicio de sesión puede ser subóptima).

Más en general, hay un par de formas canónicas para verificar la identidad. La mayoría implica pedirle al cliente información que tanto el cliente como la compañía generalmente solo conocerían :

  • Actividad reciente . Por ejemplo, si se trata de una institución financiera, puede pedirles que describan el monto, el comerciante y la fecha de una transacción reciente.

  • Datos del historial de crédito . Si su empresa tiene acceso a la información del historial de crédito (tipos de préstamos y montos, direcciones anteriores, etc.), podría aprovechar esta información.

  • Contraseña de soporte de cuenta . Aparte de la contraseña utilizada por el cliente para acceder a los servicios directamente, simplemente puede hacer que el suministro del cliente (en el momento del registro) una contraseña que A) se almacene en sus servidores en texto plano, y B) solo sea utilizado por el servicio de atención al cliente para verificar la identidad del cliente.

También puede agregar, además de lo anterior y seleccionar al azar, otra información que se recopila naturalmente al registrarse y se registra (dirección, fecha de nacimiento, últimos cuatro de SSN, etc.) . Por razones obvias, solo se utilizarían para complementar las preguntas anteriores y deberían ajustarse en función de su modelo de negocio.

    
respondido por el Royce Williams 29.11.2017 - 06:47
fuente

Lea otras preguntas en las etiquetas