¿Es menos seguro proporcionar una contraseña del sitio web por teléfono que otra información de identificación?

7

He estado tratando con dos bancos separados para completar una reinversión de 401 k (no tengo ninguna otra cuenta con ninguno de los dos bancos), y he encontrado algo con los dos que nunca he visto en ninguno de Los bancos con los que trabajo habitualmente. Ambos bancos han solicitado la contraseña de mi sitio web por teléfono cuando solicitan hablar con un representante de servicio al cliente. Cada vez, insisto en que no divulgaré eso, porque no es seguro, y que me gustaría verificarme a mí mismo de otras maneras, a las que por lo general solo piden la fecha de nacimiento, la dirección del hogar y el número de seguro social .

Mi pregunta es: ¿hay algo más o menos seguro sobre el uso de la contraseña de mi sitio web (a diferencia de la dirección, fecha de nacimiento, SSN) para la verificación de la cuenta por teléfono con un representante de servicio al cliente?

Mi intuición dice que es menos segura porque creo que mi contraseña nunca debe ser legible por nadie más que yo, ya que se debe transmitir a través de SSL, hash / salted / etc, y almacenada. Una vez que divulgo la contraseña de texto simple al representante, está comprometida. ¿Es esto correcto? (Nota: estos bancos casi con seguridad no cifran correctamente las contraseñas para el almacenamiento, pero creo que es un problema aparte).

    
pregunta xdumaine 19.06.2014 - 14:37
fuente

7 respuestas

3

Voy a estar en desacuerdo con algunos de mis colegas y sugeriré que la solución del Banco es mucho más segura que su alternativa propuesta. Aunque tampoco es lo ideal. Veamos cada solución y su perfil de ataque.

Dirección, SSN, DOB, etc.
Todos deberíamos estar de acuerdo en que estas son ideas absolutamente terribles. Los hechos hacen contraseñas horribles y nunca deben usarse. Sin excepciones. Literalmente no excepciones. Si alguien puede investigarlo, entonces no puede usarlo para autenticarse. Período. Casi todas las preguntas de seguridad no se aplican a esta regla. Es vergonzoso. Esta técnica se explota con frecuencia, a menudo con objetivos de alto perfil. Deberíamos saberlo mejor pero seguimos usándolo. Esto tiene que parar.

Contraseña del sitio web
Si bien no es ideal, esto resuelve el problema de investigación. Todavía se puede usar con hash seguro ya que el representante de soporte debería tener que ingresar la contraseña en forma literal para verificarla en lugar de leerla en la pantalla. Sus posibles ataques son: (a) alguien que escucha puede reutilizarlo para hacerse pasar por usted por teléfono, y (b) alguien que escucha puede usarlo en el sitio web. Aun así, si más compañías hicieran esto, estaríamos mucho más seguros. Podemos hacerlo mejor, pero al menos no tiene que preocuparse si alguien busca en qué calle creció o los últimos dígitos de su número de tarjeta de crédito y luego usa esa información para hacerse cargo de su cuenta.

Pin de llamada
Esta es la solución de Godaddy. Tiene un número de 4 dígitos en su cuenta que debe proporcionar cuando llame a soporte. Es mejor porque resuelve el problema (b) anterior: no puede utilizar el pin de llamada para iniciar sesión en el sitio web. Pero el problema (a) permanece. El pin no cambia a menos que lo restablezca, por lo que un atacante que escucha su conversación puede hacerse pasar por usted. Además de lo siguiente, otras "llamadas en contraseñas" tienden a caer en esta categoría y son susceptibles a "ataques de repetición".

Código de acceso único
Esta es la solución de PayPal, y es la mejor solución disponible. Cuando hace clic en "comuníquese con nosotros" en su cuenta de PayPal, se le otorgará un código de acceso de 6 dígitos de un solo uso que deberá proporcionar por teléfono. Expira después de 60 minutos o después de usarlo una vez, por lo que un intruso no puede hacerse pasar por usted. Y es aleatorio por lo que no se puede predecir. Si vas a implementar una solución por ti mismo, esta es la forma de hacerlo. PayPal ha estado haciendo esto durante muchos años y ha funcionado para ellos hasta ahora.

La forma de autenticarse por teléfono "dime algunos hechos sobre ti", como sugeriste, realmente no debería permitirse; Es una pena que tantas compañías hagan esto. Dar la contraseña de su sitio web por teléfono es mucho mejor (para ser justos, cualquier cosa es mejor), pero presenta algunos problemas. Autenticarse en línea y luego obtener un código secreto único: esa es una solución que puedo respetar.

Tenga en cuenta que el verdadero escándalo es el hecho de que el banco esté dispuesto a recurrir a pedir su SSN o dirección, etc. Si se niega a autenticarse de forma segura, a no se le debe dar la opción de proporcionar algunos datos sobre la víctima que está tratando de suplantar.

    
respondido por el tylerl 19.06.2014 - 22:52
fuente
2

Como mecanismo de autenticación, las contraseñas no son malas; de hecho, las contraseñas están significadas para la autenticación. Históricamente, las líneas telefónicas han sido propensas al espionaje, pero eso fue en días anteriores a Internet. No pretendo que las líneas telefónicas sean más seguras ahora; más bien, las personas que desean espiar las contraseñas bancarias se concentran en los ataques informáticos, principalmente porque pueden perpetrarlas desde la comodidad de su hogar (o sótano o estudio), mientras que la intercepción clásica a menudo implica algunas operaciones físicas en equipos al aire libre, lo que implica exposición Los elementos meteorológicos, la confusión nocturna con cables, agachados debajo de basureros y otras actividades que tienen poco atractivo para las generaciones jóvenes que tenemos hoy en día.

El problema con la contraseña a través del teléfono es que los bancos capacitan a sus clientes nunca para revelar sus contraseñas. Al menos todos mis bancos lo hacen. Señalan que el secreto de la contraseña es mi responsabilidad. Divulgar mi contraseña por teléfono sería un grave mal comportamiento por mi parte. Juran que su representante nunca solicitará mi contraseña, ya sea por teléfono o incluso si me encuentro con ellos físicamente.

Hay buenas razones para tal entrenamiento: hace que los clientes sean mucho más resistentes a los estafadores (ese tipo de ataque es mucho más antiguo que las computadoras, pero de alguna manera las personas sintieron la necesidad de forjar un neologismo feo - "phishing" - para el caso de las computadoras). Ahora bien, si los empleados del banco comienzan a solicitar la contraseña del cliente, toda esa capacitación se va por el desagüe.

La seguridad requiere la cooperación de los usuarios. La cooperación se logra a través de la educación. La educación se basa en la coherencia . El comportamiento del empleado que usted describe contradice esa coherencia.

(@tylerl expone varias soluciones alternativas. Tiene razón al señalar que el SSN, la dirección y el apellido de soltera de la madre son métodos de autenticación terribles. Pero insisto en que reutilizar la contraseña del sitio web no es mucho mejor).

    
respondido por el Thomas Pornin 20.06.2014 - 00:18
fuente
1

La regla simple a adoptar es nunca dar una contraseña. Como usted dice, deben mantenerse en forma cifrada y, además, el banco no necesita la contraseña para acceder a sus datos. Lo más cerca que deben venir es pedir letras al azar de una 'palabra o frase memorable' y eso no debería ser lo mismo que su contraseña.

    
respondido por el user49598 19.06.2014 - 15:29
fuente
1

Tiene razón, no es necesario que conozcan su contraseña y se pueden verificar por nombre, dirección y DoB. No es necesario que les diga su contraseña y es muy probable que esté en contra de las reglas de la compañía "Nunca le diga su contraseña a nadie" siempre es el número 1 cuando se trabaja con contraseñas.

--EDIT--

No tenía conocimiento de que otras compañías emitieran una "Contraseña de facturación" u otra contraseña solo para consultas técnicas. Un Pin u otro identificador pequeño es posible, pero para la mayoría suele ser Ubicación, Fecha de nacimiento y Apellido + Respuesta secreta a una pregunta.

    
respondido por el James Clarke 19.06.2014 - 14:44
fuente
0

La pregunta que debe hacer es: ¿por qué sigo en ese banco si creo que no es seguro?

Sin duda, está lejos de ser la mejor práctica y tiene razón al decir que esto no es seguro. Nadie dijo nunca que los bancos estaban a salvo. Para ser honesto, esto es probablemente muy malo. La mayoría de los mecanismos de autenticación que conozco requieren autenticación de dos factores.

La mayoría de las soluciones de banca telefónica que conozco requieren que primero cree un código seguro a través de la interfaz web del banco (como un código PIN). La interfaz web utiliza un lector de tarjetas para generar un token de autenticación por tiempo limitado.

Una vez que tenga su código PIN que necesita para ingresar al banco, envíe su identificación de cliente y PIN. Entonces se le considera autenticado.

Si aún no sabe más, podría decir que el teléfono tampoco se considera un medio seguro. La seguridad es siempre una compensación con usabilidad y riesgo. Afortunadamente para usted, la mayoría de los bancos se arriesgan a sí mismos (a menos que puedan probar que usted no actuó con la debida diligencia). La mayoría de los bancos pagan por esto ya que los daños a la reputación de no pagar son más dañinos de todos modos. Sin embargo, todo depende de cómo maneje esto su banco, ya que parece que no se adhieren a las mejores prácticas de la industria, me pregunto cuál es su política respecto al fraude con la cuenta de un cliente.

Sé que la mayoría de los bancos europeos ya tienen este tipo de medidas o planean adoptarlas. No estoy realmente familiarizado con los bancos estadounidenses, pero generalmente se quedan un poco atrás cuando se trata de seguridad (al menos eso es lo que escuché).

    
respondido por el Lucas Kauffman 19.06.2014 - 14:50
fuente
0

Ingresar la representación numérica de la contraseña en su teléfono puede considerarse aceptable, ya que generalmente las conversaciones telefónicas se consideran relativamente seguras, ya que generalmente son punto a punto y relativamente difíciles para cualquier persona que no sea la compañía telefónica o el gobierno. Claro que alguien podría tocarlo en tu casa, pero si lo hacen, también podrían tocar tu teclado.

El gran no-no es en realidad revelarlo a un CSR de bajo pago en lugar de a un sistema electrónico. El banco puede garantizar fácilmente que el sistema electrónico solo indique sí / no por haber sido verificado, decirle a un empleado que es horrible. Aún mejor sería pedirle a alguien que inicie sesión y proporcione un OTC como una opción alternativa o use una función de llamada que valide automáticamente la llamada, sin embargo, es posible que alguien tenga que acceder a su banco cuando no esté cerca de una computadora.

Personalmente, dada la opción de dar una contraseña que puedo cambiar después de la llamada o de mi red social, prefiero dar la contraseña, ya que no está ligada directamente a mí para siempre sin muchos saltos para saltar a través de, aunque eso suponga que estaba siguiendo las mejores prácticas y utilizando una contraseña única para esa cuenta.

    
respondido por el AJ Henderson 19.06.2014 - 16:01
fuente
0

No es seguro en absoluto. al menos no si tienes una llave de teléfono o pin.

Si es su cuenta bancaria, debe hablar solo con el administrador de su cuenta. Si necesita realizar transacciones razonables con cualquier otro (incluso el mismo banco) sin un pin o el código del teléfono, no lo haga.

Hablando con tu administrador de cuentas. significa que ella no necesitaba esa gran cantidad de información para verificar tu cuenta.

Cuando esté fuera de mi país, MI MENOS cuenta bancaria segura me llamará y me preguntará muchas cosas privadas antes de permitirme hacer alguna transacción

Y haz esto.

  1. Por favor, no les digas nada.
  2. Pídale a su administrador de cuenta el código clave de su teléfono, pin o rsa-key

si no puedes hacer el paso 2

  1. Abra una cuenta bancaria con el banco que admita el código de tecla del teléfono, pin o rsa-key
  2. cierra tu cuenta bancaria no segura actual
  3. sigue sin decirles
respondido por el Quijote Shin 19.06.2014 - 23:54
fuente

Lea otras preguntas en las etiquetas