En un caso de ejemplo, considera eso;
- Soy un cliente de la organización y tengo dos cuentas separadas con dos departamentos diferentes, X e Y.
- Puedo iniciar sesión en el sitio web de cada departamento utilizando el ID de usuario y la contraseña que son únicos para cada departamento.
- Para actualizar mis datos personales en cualquier pago, debo llamar a este proveedor de servicios y usar un código PIN (que me envié antes, a través de un canal seguro). Tienen equipos separados para cada departamento, por lo que X no sabe de Y.
- Aunque tengo perfiles / cuentas separados para cada departamento, tenga en cuenta que el código PIN es el mismo ya sea que llame al departamento X o Y.
- En este escenario, ambos departamentos tienen diferentes niveles de acciones permitidas asociadas con el código PIN. Por ejemplo, no puedo cambiar mi dirección cuando llamo al departamento X con este PIN porque se considera un factor de autenticación de nivel inferior. Sin embargo, si quiero hacer lo mismo en el departamento Y, es posible que se me permita hacerlo porque se considera un factor de autenticación de nivel superior.
Ahora los problemas que veo en este esquema son:
- Un estafador que de alguna manera ha rozado mis detalles básicos, como Nombre, fecha de nacimiento, etc., puede llamar al Departamento X para solicitar este PIN (que, irónicamente, puede darse por teléfono) porque se considera que solo permite operaciones de bajo riesgo. En consecuencia, una vez que el estafador obtiene este PIN, puede llamar al departamento Y y realizar cambios sin ser desafiado porque permite operaciones de alto riesgo.
- El segundo problema es que se usa el mismo número de PIN para dos departamentos diferentes.
Ahora mi pregunta es si consideramos que no puedo tener códigos PIN separados y que no pueden tener el mismo nivel de autenticación asociado para X e Y.
-
¿Qué puede hacer la organización para detener el uso fraudulento del código PIN en diferentes departamentos?
-
¿Existe una manera de mantener la validez de las credenciales asociando el cambio de alcance (departamento que restablece / vuelve a emitir el código PIN) y la extensión (cambio de información personal) al código PIN? Para que se pueda detener el mal uso.