¿Cómo solicitar de manera segura una verificación de PII / cuenta adicional?

Question

¿Cómo solicitar de manera segura una verificación de PII / cuenta adicional?

#1 de Rоry McCune (1 votos)

2

Ya que es una mala práctica pedir a los usuarios que hagan clic en una URL dentro de un correo electrónico para verificar su identidad debido a preocupaciones de phishing, ¿cuál es la mejor manera de preguntarle a un usuario que es necesaria información adicional de PII?

El siguiente ejemplo de Stripe.com solicita una dirección de correo electrónico a , y una URL posterior para hacer clic en.

Además de enviar un correo electrónico al usuario final, ¿qué otros canales son mejores para solicitar esta información?

Si el correo electrónico es la única opción, ¿cuál es el mejor enfoque para garantizar que el usuario haga clic en el enlace y continúe con la verificación? Nuestro objetivo es limitar los carros abandonados en caso de que el usuario no vea o ignore esta solicitud.

phishing email password-reset identification

pregunta random65537 09.08.2016 - 22:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas phishing email password-reset identification

¿Por qué añadir un sled nop al final del código de shell? Llavero respaldado por hardware para iOS y Android

score 1 · Answer 1

Este tipo de escenario esencialmente presenta un equilibrio entre la usabilidad y la seguridad, y la opción que decida elegir dependerá del apetito de riesgo de su organización.

Idealmente, desde una perspectiva de seguridad, no debería alentar a los usuarios a hacer clic en los enlaces del correo electrónico, dada la falta de fiabilidad del correo electrónico y la prevalencia de las estafas de suplantación de identidad (phishing), que implican que los usuarios hagan clic en los enlaces de los correos.

Entonces, la mejor opción desde ese punto de vista sería enviar un correo electrónico al cliente (o contactarlos a través de otro canal si han proporcionado esos detalles de contacto) y pedirles que vayan al sitio en el navegador, inicien sesión. e ir de allí.

Por supuesto, esto no es una gran experiencia para el usuario y es por eso que muchas empresas optan por poner enlaces en el correo electrónico para que la gente haga clic. Así que si haces eso, algunas cosas a considerar

Trate de evitar el uso de sitios de seguimiento de clics de terceros, de modo que al menos el usuario vaya a su dominio y pueda verificar que, por supuesto, saben qué buscar.
Considere firmar digitalmente sus correos electrónicos. Una vez más, estoy seguro de que muchos usuarios no lo notarán, pero es útil para aquellos que son más conscientes de la seguridad tener más confianza en que el correo es legítimo.