¿Cómo mantener la validez de las credenciales de usuario?

Navega tus respuestas
1

En un caso de ejemplo, considera eso;

  1. Soy un cliente de la organización y tengo dos cuentas separadas con dos departamentos diferentes, X e Y.
  2. Puedo iniciar sesión en el sitio web de cada departamento utilizando el ID de usuario y la contraseña que son únicos para cada departamento.
  3. Para actualizar mis datos personales en cualquier pago, debo llamar a este proveedor de servicios y usar un código PIN (que me envié antes, a través de un canal seguro). Tienen equipos separados para cada departamento, por lo que X no sabe de Y.
  4. Aunque tengo perfiles / cuentas separados para cada departamento, tenga en cuenta que el código PIN es el mismo ya sea que llame al departamento X o Y.
  5. En este escenario, ambos departamentos tienen diferentes niveles de acciones permitidas asociadas con el código PIN. Por ejemplo, no puedo cambiar mi dirección cuando llamo al departamento X con este PIN porque se considera un factor de autenticación de nivel inferior. Sin embargo, si quiero hacer lo mismo en el departamento Y, es posible que se me permita hacerlo porque se considera un factor de autenticación de nivel superior.

Ahora los problemas que veo en este esquema son:

  1. Un estafador que de alguna manera ha rozado mis detalles básicos, como Nombre, fecha de nacimiento, etc., puede llamar al Departamento X para solicitar este PIN (que, irónicamente, puede darse por teléfono) porque se considera que solo permite operaciones de bajo riesgo. En consecuencia, una vez que el estafador obtiene este PIN, puede llamar al departamento Y y realizar cambios sin ser desafiado porque permite operaciones de alto riesgo.
  2. El segundo problema es que se usa el mismo número de PIN para dos departamentos diferentes.

Ahora mi pregunta es si consideramos que no puedo tener códigos PIN separados y que no pueden tener el mismo nivel de autenticación asociado para X e Y.

  1. ¿Qué puede hacer la organización para detener el uso fraudulento del código PIN en diferentes departamentos?

  2. ¿Existe una manera de mantener la validez de las credenciales asociando el cambio de alcance (departamento que restablece / vuelve a emitir el código PIN) y la extensión (cambio de información personal) al código PIN? Para que se pueda detener el mal uso.

pregunta Khurram Majeed 22.08.2014 - 12:56
fuente

1 respuesta

2

Esta organización debe tener un punto de aterrizaje específico para que los clientes reciban / verifiquen / modifiquen su código PIN, que no depende de los departamentos, y el personal del departamento debe estar capacitado para no proporcionar esta información tal como no lo harían con otra persona confidencial. información.

La razón es que no puede pedir a los departamentos que razonen acerca de la sensibilidad del código PIN en sí mismos si no saben lo que otros hacen (o lo harán en el futuro) con este PIN. Además, sería mucho más costoso configurar un mecanismo organizativo o tecnológico para que los departamentos verifiquen la sensibilidad del PIN in situ para que puedan decidir si divulgarlo por teléfono o no. Es más fácil tener un equipo separado para manejar el PIN, por lo que se puede crear, actualizar y aplicar una política única.

Tenga en cuenta que en este punto tiene mucho sentido tener un sistema de administración de cuentas entre departamentos con cierta cantidad de reutilización de la información. Ya lo necesita para este PIN (aunque debo decir que el problema principal es que el PIN existe en primer lugar).

    
respondido por el Steve DL 22.08.2014 - 13:20
fuente

Lea otras preguntas en las etiquetas

Criterios de evaluación de la solución de gestión de vulnerabilidades Intercambio de claves a través de la red con más de dos pares