Esto puede parecer estúpido para un profesional de seguridad, pero se trata de usuarios finales y de la interacción del peor caso con un desafío-respuesta.
Background
Muchos sitios de autenticación de 2 factores solicitan la verificación de los últimos 4 dígitos de un número de teléfono. Esto es único en los EE. UU., Porque nuestro formato de número de teléfono es (xxx) xxx - xxxx. (Es posible que otros países no tengan este formato de cultura)
He presenciado una serie de fallos de inicio de sesión de usuarios legítimos y sospecho que están utilizando otro código común de 4 dígitos en lugar de su número de teléfono.
No tengo ningún deseo de recopilar SSN inadvertidamente en mi archivo de registro, y es posible que los actores malintencionados intenten recopilar esta información utilizando un esquema similar (con el pretexto de restablecer una contraseña).
Pregunta
¿Existe evidencia empírica para sugerir que una población de usuarios puede ingresar SSN en el campo de entrada del número de teléfono?