Voy a estar en desacuerdo con algunos de mis colegas y sugeriré que la solución del Banco es mucho más segura que su alternativa propuesta. Aunque tampoco es lo ideal. Veamos cada solución y su perfil de ataque.
Dirección, SSN, DOB, etc.
Todos deberíamos estar de acuerdo en que estas son ideas absolutamente terribles. Los hechos hacen contraseñas horribles y nunca deben usarse. Sin excepciones. Literalmente no excepciones. Si alguien puede investigarlo, entonces no puede usarlo para autenticarse. Período. Casi todas las preguntas de seguridad no se aplican a esta regla. Es vergonzoso. Esta técnica se explota con frecuencia, a menudo con objetivos de alto perfil. Deberíamos saberlo mejor pero seguimos usándolo. Esto tiene que parar.
Contraseña del sitio web
Si bien no es ideal, esto resuelve el problema de investigación. Todavía se puede usar con hash seguro ya que el representante de soporte debería tener que ingresar la contraseña en forma literal para verificarla en lugar de leerla en la pantalla. Sus posibles ataques son: (a) alguien que escucha puede reutilizarlo para hacerse pasar por usted por teléfono, y (b) alguien que escucha puede usarlo en el sitio web. Aun así, si más compañías hicieran esto, estaríamos mucho más seguros. Podemos hacerlo mejor, pero al menos no tiene que preocuparse si alguien busca en qué calle creció o los últimos dígitos de su número de tarjeta de crédito y luego usa esa información para hacerse cargo de su cuenta.
Pin de llamada
Esta es la solución de Godaddy. Tiene un número de 4 dígitos en su cuenta que debe proporcionar cuando llame a soporte. Es mejor porque resuelve el problema (b) anterior: no puede utilizar el pin de llamada para iniciar sesión en el sitio web. Pero el problema (a) permanece. El pin no cambia a menos que lo restablezca, por lo que un atacante que escucha su conversación puede hacerse pasar por usted. Además de lo siguiente, otras "llamadas en contraseñas" tienden a caer en esta categoría y son susceptibles a "ataques de repetición".
Código de acceso único
Esta es la solución de PayPal, y es la mejor solución disponible. Cuando hace clic en "comuníquese con nosotros" en su cuenta de PayPal, se le otorgará un código de acceso de 6 dígitos de un solo uso que deberá proporcionar por teléfono. Expira después de 60 minutos o después de usarlo una vez, por lo que un intruso no puede hacerse pasar por usted. Y es aleatorio por lo que no se puede predecir. Si vas a implementar una solución por ti mismo, esta es la forma de hacerlo. PayPal ha estado haciendo esto durante muchos años y ha funcionado para ellos hasta ahora.
La forma de autenticarse por teléfono "dime algunos hechos sobre ti", como sugeriste, realmente no debería permitirse; Es una pena que tantas compañías hagan esto. Dar la contraseña de su sitio web por teléfono es mucho mejor (para ser justos, cualquier cosa es mejor), pero presenta algunos problemas. Autenticarse en línea y luego obtener un código secreto único: esa es una solución que puedo respetar.
Tenga en cuenta que el verdadero escándalo es el hecho de que el banco esté dispuesto a recurrir a pedir su SSN o dirección, etc. Si se niega a autenticarse de forma segura, a no se le debe dar la opción de proporcionar algunos datos sobre la víctima que está tratando de suplantar.