¿Qué tan común es que un banco le solicite que realice una identificación de usuario y una contraseña cuando realice operaciones bancarias? ¿Deberían simplemente usar un número predeterminado, como su tarjeta de crédito, o hay ventajas para que los usuarios realicen identificaciones?
Todos los bancos que utilizo requieren que haga una identificación de usuario. Creo que tener una ID emitida sería una mejor seguridad, pero desde un punto de vista empresarial, simplemente está haciendo las cosas extremadamente desagradables para sus usuarios.
No creo que sea realista asignar un número de tarjeta de crédito como una identificación porque los usuarios pueden tener varias tarjetas de crédito o cuentas en el mismo banco, y nuevamente el banco no querría dificultar las cosas a los usuarios. . ¡No olvidemos también que todos se verían obligados a tener nombres de usuario muy largos!
También, usted pensaría que su número de tarjeta de crédito es algo que también quiere mantener en secreto, pero tenerlo como una identificación puede perjudicar la seguridad. Imagine el escenario en el que alguien es perezoso y escribe muy lentamente (tal vez no tenga un teclado numérico también). Por lo tanto, esta persona decide dejar su número de tarjeta de crédito en algún lugar y copiar y pegar eso cuando vaya al sitio bancario. Bueno, ahora es muy posible que esta persona lo publique accidentalmente en otro lugar si no se acuerda de copiar algo más en el portapapeles.
En general, parece una situación de pérdida y pérdida
Si los usuarios pueden elegir sus ID de usuario, el proceso de registro para nuevos usuarios perderá si ya se está utilizando un ID de usuario en el banco. Cuando un nuevo usuario elige una ID de usuario existente, el banco tendrá que revelar que la ID ya está tomada y pedirle al usuario que seleccione otra.
Se considera una mala práctica filtrar las ID de usuario existentes en un sistema, por eso los procedimientos de autenticación segura tienen cuidado de no filtrar esta información. El ejemplo más obvio es el mensaje de error genérico que recibe al ingresar un nombre de usuario / contraseña incorrectos: "Nombre de usuario o contraseña no válidos", en lugar del enfoque más fácil de usar "nombre de usuario no válido" cuando el nombre de usuario era incorrecto y "contraseña no válida" cuando El nombre de usuario existía pero la contraseña era incorrecta. A menudo te encuentras con sitios que adoptan el enfoque correcto para la autenticación, pero siguen filtrando las ID de usuario en su proceso de registro.
La escala de la fuga variará con el procedimiento de registro. Si el procedimiento de registro está en línea, es posible que pueda automatizar las pruebas de las ID de usuario para ver cuáles están en uso o no. Esto depende de cómo lo hayan implementado, el banco podría, por ejemplo, use CAPTCHAs para limitar el éxito de tales ataques.
Por lo tanto, recomiendo una ID emitida por el banco, o la reutilización de una ID única existente, como un Número de Identidad Nacional (NIN, varía según el mundo en qué medida son únicos / adecuados).
Aquí en Noruega tenemos NIN únicos y los bancos deben tenerlos de todos modos, por lo que son muy adecuados como ID de usuario.
Veo números de tarjetas de crédito a medida que se mencionan las ID de usuario. Ha pasado un tiempo desde que trabajé en PCI, pero AFAIK provocaría muchos problemas de PCI para el procedimiento de autenticación, así que no lo recomendaría.
Cuando se trata de banca en línea, no hay muchas ventajas o desventajas para que los usuarios realicen identificaciones. Las únicas cosas que he encontrado son las siguientes:
Ventajas -
Fácil de recordar iniciar sesión en la información. Esto significa que si no tengo mi tarjeta de crédito conmigo y no he memorizado su número, todavía puedo iniciar sesión en mi cuenta.
Capa de protección añadida. Lo que quiero decir con esto es que si alguien obtiene mi tarjeta de crédito, no conoce mi nombre de usuario. La comunidad de juegos ha comenzado a asumir este sistema de "nombre de usuario dual". Lo que significa es que tu nombre en el juego no es tu nombre de usuario para iniciar sesión. Esto evita que las personas ya tengan una de las dos respuestas.
Hashing (corríjame si me equivoco aquí, muy bien podría estarlo). Cuando hash una contraseña también quieres "sal" con algo. Esto hace que sea más difícil hacer algo con los hashes si se obtienen.
Gestión. Digamos que tienes un niño y su nombre es Joe. Bueno, obtén a Joe su propia tarjeta de crédito que está adjunta a la tuya, en lugar de necesitar saber su contraseña para poder mantenerte al tanto, puedes descubrir que está comprando cerveza y amp; Cigarrillos sin necesidad de pedirle la contraseña. También puedes controlar cosas como cuánto puede gastar este mes y así sucesivamente. Esto también se aplica a las empresas.
Desventajas -
Las personas pueden olvidar su nombre de usuario. (Aunque todavía puede autenticarlos por otros medios)
Los nombres de usuario no son tan largos. Dando a los usuarios la opción de hacer sus propios nombres puede causar problemas debido a que no eligen un nombre que sea tan largo y aleatorio como un número de tarjeta de crédito. (Sin embargo, los atacantes saben que los números de las tarjetas de crédito son números en los que los nombres de usuario pueden incluir letras y números, por lo que está en el aire)
Eso es todo lo que puedo pensar por ahora. Si alguien tiene su propio sentimiento, siéntase libre de agregarlo. (No me gusta el formato de esto personalmente pero parece que no puedo hacerlo bien)
Todos los bancos que conozco y en los que hago banca en línea (aproximadamente 5 aquí en Suiza) emiten un ID de usuario. Y no puedes elegir la identificación; es solo un número que se obtiene cuando solicita realizar operaciones bancarias en línea. Por supuesto, también necesita una contraseña y una contraseña de un solo uso para iniciar sesión. La contraseña que puede elegir usted mismo y la contraseña de un solo uso es algo que obtiene de su banco. En los viejos tiempos enviaban una hoja de papel con 100 números (numerados) y cada inicio de sesión le pedían el número X en la hoja. Después de usarlo lo tacharías. y cuando se utilizó el 80% de la hoja, le enviaron una nueva hoja. Hoy en día, todos los bancos utilizan tokens de hardware (RSA SecureID, YubiKey, etc.). Los bancos más seguros también usan verificaciones de transacciones.
No vincularía la identificación de usuario a ningún número existente, como el número de la tarjeta de crédito, porque tal vez ofrezca un servicio adicional para el cliente y luego el cliente ya no use la tarjeta de crédito. Así que una identificación de usuario por separado es mejor. Además, no veo ninguna razón por la que permitiría al usuario elegir un nombre o número como su ID, que solo genera conflictos con los usuarios que se registraron anteriormente.
También es más seguro tener una ID diferente del número de tarjeta de crédito, porque entonces el cliente puede perder / divulgar la ID y nadie puede hacer nada con esa información solo; nadie puede asociarlo con el cliente o con la tarjeta de crédito o lo que sea.
Por supuesto, siempre tiene que manejar los casos en que los usuarios olvidan su ID, al igual que olvidando su contraseña o listas de contraseña únicas o perdiendo sus dispositivos autenticadores.
Creo que es una decisión relativamente arbitraria del banco que depende más de los productos que venden que de cualquier otra cosa.
Cuantos más productos ofrezcan, es más probable que tenga la opción de un ID de inicio de sesión genérico porque los clientes simplemente no tienen una tarjeta. Sin embargo, la mayoría le permitirá iniciar sesión con el número de tarjeta.
No ... es extremadamente inseguro permitir que el usuario cree un UserId de su elección. Como permitirá al usuario verificar los ID de usuario que existen al igual que la creación del correo electrónico.
Como ejemplo, si el usuario intentó crear un ID de usuario como "stackoverflow", no permitirá crearlo si ya existe. Este usuario no será usuario de al menos un cliente. Si el cliente intentó crear cambios, el cliente conocerá los ID de usuario existentes.
De esta manera, expondrá los datos seguros del cliente.
Lea otras preguntas en las etiquetas authentication