¿Cuáles son las posibles reglas para identificar el uso compartido de contraseñas para prevenir el fraude?

Navega tus respuestas
1

Estoy tratando de crear reglas de bandera roja de correlación / potencial para detectar si las contraseñas se están compartiendo o se están robando ... el principal impulsor de esto es la guía de nuestro equipo de cumplimiento, que gran parte de nuestros fraudes en los pagos han surgido debido a deliberaciones. compartir o robar las credenciales de un compañero de trabajo (por ejemplo, en el verificador del fabricante, etc.). Me pidieron que examinara un enfoque centrado en los datos para resolver esto

algunos pensamientos incluyen a) contraseña utilizada en 2 direcciones IP que están físicamente alejadas una de la otra b) se accede a la aplicación de software sin registro de acceso físico (lo que indicaría la entrada en el área de trabajo)

Cualquier comentario / orientación sobre cómo crear una lista completa de sospechosos de marcado aquí

    
pregunta raghu 19.03.2014 - 19:12
fuente

3 respuestas

3

Creo que le preocupa que varias personas reutilicen una identidad compartida, no solo el caso específico de las contraseñas compartidas. Si está utilizando algún tipo de sesión persistente, puede cerrar la sesión cuando la siguiente inicie sesión. Puede considerar una solución GeoIP para ver si sus usuarios podrían haber viajado a la nueva ubicación en la cantidad de tiempo entre el cierre de sesión anterior y el inicio de sesión actual, pero sepa que los sistemas GeoIP no son perfectos.

En lugar de imponer automáticamente un error, probablemente sea mejor definir una política de uso aceptable y decirles a los usuarios que "no compartan contraseñas, no se dejen entrar", ese tipo de cosas. Utilice los datos de tiempo para hacer cumplir la política.

    
respondido por el John Deters 19.03.2014 - 20:53
fuente
0

Valve's Steam solo le permitirá iniciar sesión en su cuenta desde computadoras y ubicaciones registradas y permitidas. Si intenta iniciar sesión desde una computadora o ubicación diferente, recibirá y tendrá que confirmar un correo electrónico permitiéndolo primero.

Creo que es bastante funcional y bastante seguro en el sentido de que un usuario de Steam tendría que perder tanto su cuenta de Steam como su cuenta de correo electrónico para ser robado.

Naturalmente, también te impide iniciar sesión en tu cuenta desde varios lugares a la vez.

Quizás también puedas hacer algo así, e imponer límites como "solo puedes tener 2 puntos de acceso diferentes registrados" para evitar que este usuario registre a familiares y amigos y lo que sea (no estás seguro de cuál es tu objetivo). Entonces, incluso si comparte su cuenta, estaría dentro de un alcance controlado y aceptable.

    
respondido por el Havenard 19.03.2014 - 19:59
fuente
0

Es posible que desee considerar otras formas de disuadir ese comportamiento. La detección podría ser difícil o poco confiable.

Si los usuarios tuvieran alguna motivación para mantener su cuenta privada, incluso de amigos o compañeros de trabajo cercanos, se autodirigirían para resolver su problema.

La política es una opción, las personas que se encuentran compartiendo contraseñas pueden ser castigadas o despedidas o sus cuentas suspendidas.

Otra opción es tener información o acciones confidenciales adjuntas a esa cuenta. No compartiría mi cuenta de iTunes con mi amigo si tuviera la capacidad de eliminar mi colección.

    
respondido por el u2702 19.03.2014 - 23:27
fuente

Lea otras preguntas en las etiquetas

¿Existe alguna defensa contra Brute-Force en un archivo cifrado local? ¿Dónde obtiene / entrop / random su entropía?