Emisión de información de contraseña por teléfono [duplicado]

Dependerá de lo que te preocupa. El uso de SMS como medio de comunicación "fuera de banda" es normal en muchos servicios importantes. Pero tiene que llegar a su propia conclusión en cuanto a si eso todavía está demasiado expuesto para sus clientes. ¿Tiene verificación independiente del número de SMS antes de la transmisión, por ejemplo?

Sin conocer el entorno completo ni los factores de riesgo, advertiría contra el exceso de complicaciones de las medidas de seguridad. Asegúrese de no estar creando una infraestructura de seguridad que cueste más que los riesgos, y los costos incluyen la facilidad de uso y las relaciones con los clientes. Pero esos costos son algo que solo usted puede evaluar.

El problema raíz es la verificación de identidad. Usted otorga acceso a alguien y luego, en el futuro, el nombre de usuario asignado equivale, de alguna manera, a llevar a cabo la verificación de que la identidad reclamada del nombre de usuario coincide con la persona correspondiente. La contraseña es lo que hace que sea difícil para otra persona reclamar ilegítimamente esa identidad.

En su proceso preexistente, está realizando una verificación cara a cara. ¿Qué criterios utilizas para demostrar esa identidad en el escenario cara a cara? ¿Miras las identificaciones, les obligas a responder preguntas o confías en que otra persona (por ejemplo, su gerente) avala por ellas?

En el escenario fuera de línea, tendrá que confiar en "secretos" o al menos difícil de obtener información. El verificador necesitaría acceder a cierta información que sería difícil que alguien supiera. Esta debe ser una combinación de los atributos algo que usted sepa ", que podría incluir información sobre su posición, fecha de contratación, cumpleaños, etc. También puede proporcionar los valores clave de los documentos que revisaría para una situación cara a cara.

La dificultad y la cantidad deben basarse en el riesgo para proporcionar una seguridad razonable de que esta es la persona adecuada. Dependerá de la información disponible contra la que tenga que verificar y de la forma en que costoso desea obtener la experiencia en términos de obtener esa información. Por ejemplo, si va a obtener su informe de crédito anual gratuito en enlace , le pedirán información sobre préstamos, hipotecas, etc. .que la gente en general no comparte y sería caro comprar. Hay servicios que puede usar que le proporcionarán esto a un usuario, y luego podría pedirle que proporcione algún código que solo se proporciona si se puede verificar con éxito.

Dependiendo de su configuración, también puede confiar en que el usuario haga "algo que tiene". Por ejemplo, si les envía un código por correo o incluso utiliza un SMS, es menos probable que un impostor pueda proporcionar ese valor por teléfono.

En última instancia, dependerá de cómo desea equilibrar el costo, el riesgo y el tiempo con la profundidad con la que desea estar. Una mayor seguridad será más costosa y puede requerir más tiempo. Es posible que pueda sufragar los costos directos subcontratando a un proveedor de confianza. Necesitaríamos conocer más detalles específicos de la información básica que tiene y las necesidades comerciales reales (solo postula cómo podrían reaccionar los usuarios).

Comparto contraseñas utilizando LastPass. Solo debe tener mucho cuidado al escribir la dirección de correo electrónico del destinatario (su inicio de sesión de LastPass) en el cuadro de diálogo Compartir. Obviamente, debes confiar en que la cuenta que estás compartiendo es la de ellos.