¿Cómo verifico la identidad de alguien si el único método de contacto es su dirección de correo electrónico?

"Permanecer en el anonimato" y "verificar identidad" son contradictorios, ¿no es así? Diría que si quiere pagarle a alguien y garantizarle que reciba el dinero, no puede permanecer en el anonimato.

  

Si les pido que me proporcionen una contraseña personal y, a cambio, les doy a cada uno una clave pública única, ¿será suficiente para verificar su identidad asumiendo que tomaron precauciones para eliminar el correo electrónico con la clave pública y colocar la clave? un lugar seguro?

Veo algunos problemas que pueden surgir:

1. ¿cómo le darían la contraseña personal si no lo hacen por correo electrónico? Supongo que deberías describir mejor por dónde empiezas con ellos.

2. eliminar el correo electrónico de inmediato no garantiza la seguridad. Las cuentas de correo electrónico comprometidas pueden configurarse para reenviar correos electrónicos a otros cuentas.

Por lo general, lo que se desea lograr se realiza mediante la comunicación de la "clave" en un método fuera de banda, como SMS. Los que no quieran divulgar su número tendrán que correr el riesgo de perder su dinero, supongo.

  

Si cayera en sus manos pondría vidas en peligro.

Eso aumentó rápidamente ... ¡tendrás que explicar más la amenaza contra la que realmente te estás protegiendo si quieres una respuesta más útil!

Puedes probar que alguien posee una dirección de correo electrónico con bastante facilidad. Les envía un correo electrónico que contiene un código aleatorio y le pide al usuario que ingrese el código para confirmar su dirección de correo electrónico. Esta es una técnica muy común para los registros en línea, y el código secreto suele estar oculto dentro de un enlace, que el usuario tiene que hacer clic para confirmar.

Como usted ha identificado, esta técnica tiene limitaciones. Por ejemplo, si su correo electrónico ha sido pirateado, el pirata informático puede confirmar el correo electrónico. La mayoría de los sitios web no hacen nada para mitigar eso; simplemente requieren que los usuarios mantengan sus direcciones de correo electrónico seguras. Por cierto, la falsificación de correos electrónicos no suele ser un problema en este contexto, ya que la dirección de correo electrónico se utiliza para enviar correos electrónicos.

Si necesita más seguridad que esta, necesita usar otros canales además del correo electrónico. Puede solicitar un número de teléfono y enviar un SMS con un código aleatorio. Muchos proveedores de correo web importantes (por ejemplo, gmail) hacen esto. O solicite una dirección postal y envíe una carta física con un código aleatorio. Las verificaciones postales suelen ser realizadas solo por entidades financieras. Incluso puede ir hasta el final y pedir a los usuarios que ingresen a una de sus oficinas con una identificación emitida por el gobierno y verifíquelas en persona. También puede verificar una dirección de Paypal solicitando su dirección postal y verificarla utilizando una API que ofrece Paypal. Todas estas opciones ofrecen diferentes niveles de seguridad y tienen diferentes costos. Debe seleccionar una compensación adecuada según la sensibilidad de su aplicación.

No entiendo tu comentario final sobre poner vidas en riesgo. ¿Podría explicar un poco más acerca de cómo su sitio web puede poner vidas en riesgo? Si realmente es tan importante, necesita obtener asesoramiento de expertos más allá de lo que puede ofrecer Security Stack Exchange.

Todo se reduce a la confianza y la competencia de las partes involucradas. Si les envía una contraseña (es decir, un secreto compartido) y los destinatarios olvidan eliminarla y permanece en la bandeja de entrada, entonces cualquier atacante con acceso a esa cuenta puede reclamar ser el destinatario sangrado y también podrá realizar transacciones válidas.

Puede usar un depósito de garantía servicio para una mejor seguridad.

A veces, aprender con anticipación es la mejor solución. Decida los límites a los que se colocan sus adversarios y luego intente utilizar métodos seguros que excedan los límites que tienen sus adversarios. En algún punto, mantener un secreto intercambiado es en lo que se basa una transferencia de PayPal. Puede transferir voluntariamente fondos de su cuenta a los suyos o pueden enviarle por correo electrónico una solicitud de fondos. Ahora el problema surge si un atacante obtiene acceso a la cuenta de PayPal, a la dirección de correo electrónico o a ambas. Paypal ha implementado la identificación de dos factores, lo que hace que sea mucho más difícil de atacar. Varios proveedores de correo electrónico también tienen. Fuera de aprender a usar GPG esas son tus mejores opciones.