Semplice, ma non stupido

Semplice, ma non stupido

Di tanto in tanto, incontro sciocchi cali di sicurezza da persone che dovrebbero conoscere molto meglio, come l'organizzazione finanziaria che mi ha telefonato su una transazione di credito online e ho richiesto la mia password come prova che stavano parlando con il titolare del conto. Ho spiegato pazientemente che mentre sapevano chi ero perché avevano avviato la chiamata, non avevo prove di chi fossero e quindi non stavo dando loro la mia password o qualsiasi parte. Invece, ho suggerito che mi dicessero il terzo, quarto e ottavo alpha-numerics dalla mia password e se questi fossero corretti, darei loro il resto. Questo fu rifiutato e, durante il breve ma acceso dibattito che seguì, divenne ovvio che la persona dall'altra parte del telefono non riusciva a capire perché ero "così difficile". Alla fine abbiamo concordato sul fatto che li richiamerei e continuerei la conversazione in quel modo, ma ha esposto un malinteso su come funziona la sicurezza che non dovrebbe esistere al giorno d'oggi.

Così fa una storia del fornitore di pagamenti online Nochex e delle sue richieste di prove di identità che sono state portate alla mia attenzione da un lettore. Nochex appartiene anche alla categoria "dovrebbe sapere meglio", essendo stato coinvolto nel settore dei pagamenti sicuri per più di sei anni. Ho usato Nochex e ho sempre trovato il suo trasferimento e l'archiviazione crittografati dei dati e il suo utilizzo delle stesse posizioni del server sicure tante banche di strada, molto rassicurante. Eppure, come spesso accade, in qualche modo la trama si è persa nei dettagli periferici: in questo caso, confermando l'identità di un cliente "scaduto" che desiderava riattivare il suo account.

La creazione di un nuovo conto Nochex non è un problema, seguendo un percorso ben calpestato chiedendo i dettagli del conto bancario e un piccolo deposito. Solo dopo aver confermato l'importo di tale deposito e il riferimento che lo accompagna è attivato dal tuo account. Tuttavia, come ha spiegato il mio utente interessato, le cose erano diverse quando, non avendo usato il suo account per un anno o due, lo ha scoperto che è stato disattivato.

Che di per sé è una piuttosto solida sicurezza, ovviamente, e qualcosa che chiunque abbia avuto un account ebay dormiente dirottato dai truffatori avrebbe notevolmente preferito. Il processo di riattivazione è apparso semplice, che richiedeva un modulo da scaricare e restituito a Nochex, ma ha anche chiesto copie di una recente fattura di utilità, dichiarazioni di carte bancarie e di credito (tutti i preziosi documenti per i ladri di identità) da inviare tramite posta di lumaca.

Tutta questa preziosa documentazione personale doveva essere inviata a un indirizzo che ha avviato "Reattivazione dell'account, Nochex Ltd", un notevole intervallo di buon senso equivalente a riempire il passaporto e il libretto degli assegni in una busta e la scrittura su di essa "documenti di identità vitale, non per favore non fare rubare".

Nessuno a Nochex ha pensato di usare una casella postale anonima per questo tipo di traffico o di eliminare del tutto i documenti fisici? Questo era un account decaduto, quindi eliminarlo interamente dopo che diversi avvertimenti e -mail avrebbero più senso, con l'utente che doveva registrare un nuovo account con lo stesso indirizzo e -mail utilizzando il processo di conferma digitale sicuro esistente. A peggiorare le cose, l'utente non ha nemmeno ricevuto alcuna conferma che i suoi documenti erano arrivati ​​o alcuna risposta a una richiesta che le copie del documento fossero distrutte il prima possibile. Alla fine ha ricevuto un'e -mail dicendo che il suo account era stato riattivato, il che non ha fatto nulla per alleviare la sua preoccupazione.

Nochex è stato informato delle mie preoccupazioni e un portavoce mi assicura che prende molto sul serio la sicurezza e l'integrità degli utenti. "I criteri di identificazione e i processi per la riattivazione degli account e la conferma dell'identità dei nostri clienti vengono regolarmente rivisti", ha affermato. “Grazie per aver sollevato le preoccupazioni del sig. X e possiamo confermare che abbiamo contattato il sig. X per confermare la ricezione sicura delle sue informazioni e la distruzione sicura di tali informazioni."Speriamo che il buon senso prevale e questo stato di cose venga rapidamente rettificato.