Leí en una publicación diferente sobre KBA , que es una identidad concepto de verificación que pretende verificar a una persona preguntándole sobre cosas que solo esta persona conoce, recopilada de "información pública".
Lo primero que pensé fue que, cuando tuve acceso a sus datos al ser cliente de ellos y utilizar el servicio, ¿no podría fingir que soy la persona que me gustaría con solo pedir verificar esa identidad específica y entonces simplemente pasando esa información?
Este es un caso de medidas de seguridad específicas que se implementan para abordar amenazas específicas.
El tipo de autenticación basada en el conocimiento que ofrecen allí es bastante débil, pero eso no significa que sea inútil. Como observó, y lo divulgan en su página, se recopila a partir de información pública, lo que significa que, sí, en teoría, cualquiera puede buscar esa información por sí mismos, hacerse pasar por la persona protegida por este servicio y autenticarse. Es bastante similar a la técnica AVS utilizada comúnmente en los Estados Unidos para combatir el fraude con tarjetas de crédito . Esa información también está generalmente disponible públicamente, y por lo tanto no tiene valor para detener a un adversario determinado. Sin embargo, todavía tiene sus usos y ha sido sorprendentemente eficaz para prevenir ciertos tipos de fraude con tarjetas de crédito .
Este tipo de autenticación tendría un caso de uso similar para prevenir ciertos tipos de fraude electrónico o uso no autorizado, e indican uno de estos casos de uso en su página de producto:
La FTC emitió una carta aprobando el uso de KBA como un método para obtener el consentimiento verificable previo de los padres conforme a la Ley de Protección de la Privacidad en Línea de los Niños (COPPA).
Los niños que acumulan grandes facturas a través de la aplicación y otras compras electrónicas en sus teléfonos móviles han sido un problema de creación de titulares por un tiempo, por lo que una solución a ese problema es valiosa para las empresas que son vulnerables a esa amenaza, y El costo relativamente bajo de este sistema también es un factor importante.
Este producto sería muy eficaz para prevenir el fraude automatizado de malware o bots que intentan abrir cuentas para las personas, como otro ejemplo. No tiene sentido implementar un costoso sistema de seguridad de grado militar solo para verificar el consentimiento de los padres para las compras dentro de la aplicación en Candy Crush, o para evitar que los bots registren cuentas en su tienda web, pero un producto como este probablemente se vería afectado. El equilibrio correcto entre seguridad y costo.
Lea otras preguntas en las etiquetas attack-vector