電話でウェブサイトのパスワードを提供することは、他の識別情報よりも安全性が低いですか？

Question

私は401kロールオーバーを完了するために2つの別々の銀行を扱ってきました（2つの銀行のどちらにも他のアカウントがないため）、私はどの銀行でも見たことのない両方で何かに遭遇しました通常は動作します。どちらの銀行も、カスタマーサービス担当者との会話を要求するときに、電話で私のウェブサイトのパスワードを要求しました。毎回、安全ではないので、それを明かさないように主張します。他の方法で自分を確認したいのですが、通常は生年月日、自宅の住所、通常は社会保障番号を尋ねます。。

私の質問は次のとおりです。カスタマーサービス担当者と電話でアカウントを確認するために、ウェブサイトのパスワード（住所、生年月日、SSNではなく）を使用することについて、多少安全な点はありますか？

私の直感では、自分のパスワードは自分以外の誰にも読まれるべきではないと信じているため、安全性は低いと言われています。SSL経由で送信され、適切にハッシュ/ソルトなどされて保存されるためです。プレーンテキストのパスワードを担当者に漏らすと、そのパスワードは危険にさらされます。これは正確ですか？（補足：これらの銀行はほぼ間違いなく、保存用のパスワードを適切に暗号化していませんが、それは別の問題だと思います）。

tylerl · Answer

私は何人かの同僚に反対し、提案された代替案よりも銀行のソリューションの方がはるかに安全であることを提案します。それも理想的ではありませんが。各ソリューションとその攻撃プロファイルを見てみましょう。

住所、SSN、DOBなど
これらは絶対にひどいアイデアであることに、私たちは皆同意できるはずです。 事実は恐ろしいパスワードを作成するため、使用しないでください。例外なく。文字通りno例外。誰かがそれを調査できる場合、それを使用して自分自身を認証することはできません。限目。ほぼすべてのセキュリティの質問はこのルールに当てはまります。恥ずかしいです。この手法は頻繁に悪用され、多くの場合、注目度の高いターゲットで使用されます。私たちはもっとよく知る必要がありますが、それを使い続けています。これは停止する必要があります。

ウェブサイトのパスワード
これは理想的ではありませんが、研究の問題を解決します。サポート担当者は、画面から読み取るのではなく、パスワードを確認するために逐語的にパスワードを入力する必要があるため、安全なハッシュで引き続き使用できます。あなたの潜在的な攻撃は次のとおりです：（a）聞いている誰かが電話であなたを偽装するためにそれを再利用でき、（b）聞いている誰かがウェブサイトでそれを使用できる。それでも、より多くの企業がこれを行った場合、私たちははるかに安全になります。私たちはもっとうまくやることができますが、少なくともあなたが育った通りやクレジットカード番号の最後の桁を誰かが調べて、その情報を使ってアカウントを乗っ取ることを心配する必要はありません。

コールインピン
これがGodaddyのソリューションです。アカウントに4桁の番号があり、サポートに連絡するときに提供する必要があります。上記の問題（b）が解決されるため、より良いです。コールインピンを使用してWebサイトにログインすることはできません。しかし、問題（a）が残っています。リセットしない限りピンは変わりません。そのため、あなたの会話を聞いた攻撃者があなたになりすますことができます。以下に加えて、他の「パスワードの呼び出し」はこのカテゴリに分類される傾向があり、「リプレイ攻撃」を受けやすいです。

1回限りのパスコード
これはPaypalのソリューションであり、利用可能な最高のソリューションです。 Paypalアカウントで[お問い合わせ]をクリックすると、電話で提供する必要がある使い捨ての時間制限付き6桁のパスコードが与えられます。有効期限は60分後または1回使用した後です。そのため、盗聴者が偽装することはできません。そして、それはランダムなので、予測できません。自分でソリューションを実装する場合は、これがその方法です。 Paypalはこれを長年にわたって行っており、今のところ彼らのために働いています。

電話で認証する「自分自身についてのいくつかの事実を教えてください」という方法は、あなたが示唆したように、実際には許可されるべきではありません。多くの企業がこれを行うのは残念です。電話であなたのウェブサイトのパスワードを与えることははるかに良いです（公平にするために、何でも良いです）が、それはいくつかの問題を提示します。オンラインで認証してから1回限りのシークレットコードを取得する-これは私が尊敬できるソリューションです。

銀行がSSNや住所などを尋ねるのを躊躇しないという事実は、ここでの本当のスキャンダルです。安全に自分自身を認証することを拒否する場合は、しないなりすまそうとしている被害者に関するいくつかの事実を提供するオプションは与えられません。

Thomas Pornin · Answer

認証メカニズムとして、パスワードは悪くありません-実際、パスワードは認証にとってmeantです。歴史的に、電話回線はスパイの対象になりがちでしたが、それはインターネットが登場する数日前のことでした。電話回線の安全性が高まったとは私は思いません。むしろ、銀行のパスワードをスパイしたい人は、主に自宅（または地下室や電化製品）から侵入できるため、コンピューター攻撃に集中しますが、古典的な傍受は、屋外機器の物理的な操作を伴うことが多く、気象要素、ワイヤーを使った夜間の手探り、ゴミ箱の下で身をかがめること、そして今日私たちが持っている若い世代にほとんど魅力がない他の活動。

電話でのパスワードの問題は、銀行が顧客をトレーニングして決してパスワードを知らせないことです。少なくとも私の銀行はすべてそうです。彼らは、パスワードの秘密は私の責任であると指摘しています。電話で私のパスワードを開示することは、私の側でひどい不正行為になるでしょう。彼らは、代表者が電話で、または私が物理的に会ったとしても、パスワードを尋ねる絶対にしないことを誓います。

そのようなトレーニングには十分な理由があります。それは顧客を共作者に対してはるかに回復力のあるものにします（その種の攻撃はコンピューターよりもはるかに古いですが、人々はどういうわけか、醜い新造語-「フィッシング」-を偽造する必要性を感じましたコンピュータの）。銀行の従業員が顧客のパスワードの入力を求め始めた場合、そのすべてのトレーニングは無駄になります。

セキュリティにはユーザーの協力が必要です。協力は教育を通して達成されます。教育はコヒーレンスに依存しています。あなたが説明する従業員の行動はその一貫性と矛盾します。

（@tylerlはいくつかの代替ソリューションを公開しています。彼は、SSN、アドレス、および母親の旧姓がひどい認証方法であることを指摘するのに正解です。しかし、私はWebサイトのパスワードを再利用することはあまり良くないと主張します。）

James Clarke · Answer

あなたは正しい、彼らはあなたのパスワードを知る必要はなく、名前、住所、DoBで確認できます。彼らにあなたのパスワードを教える必要はありません、そしてそれはおそらく会社のルールに反するでしょう。

-編集-

他の会社が技術的な問い合わせのためだけに「請求パスワード」または別のパスワードを発行することを知りませんでした。ピンまたは別の小さな識別子が可能ですが、大部分は通常、場所、生年月日、姓+質問に対する秘密の回答です。

user49598 · Answer

採用する簡単なルールは、パスワードを絶対に教えないことです。あなたが言うように、それらは暗号化された形式で保持されるべきであり、さらに銀行はあなたの詳細にアクセスするためにパスワードを必要としません。彼らが来るべき最も近いのは、「覚えやすい単語またはフレーズ」からランダムな文字を要求することであり、それはパスワードと同じであってはなりません。

AJ Henderson · Answer

電話での会話は一般にポイントツーポイントであり、電話会社や政府以外の誰かがタップするのは比較的難しいので、一般に電話での会話は比較的安全であると考えられるため、電話でパスワードの数値表現を入力しても問題ないと見なされます。確かに誰かがあなたの家でそれをタップすることができますが、彼らがそうしている場合、彼らはあなたのキーボードをタップすることもできます。

大きな問題は、実際には電子システムではなく、低賃金のCSRにそれを開示することです。銀行は、電子システムが検証されたことに対して「はい」または「いいえ」を表示することを簡単に確認でき、従業員にそれを恐ろしいと伝えます。ログインして代替オプションとしてOTCを提供するように依頼するか、コールを自動検証するコールミー機能を使用することをお勧めしますが、誰かがコンピューターの近くにいないときに銀行にアクセスする必要がある場合があります。

個人的には、電話の後に変更できるパスワードを提供するか、自分の社交を提供するというオプションを考えると、多くのフープを飛び越えて永遠に直接結び付けられることはないので、むしろパスワードを提供したいと思います。これは、ベストプラクティスに従って、そのアカウントに一意のパスワードを使用していることを前提としています。

Quijote Shin · Answer

まったく安全ではありません。少なくとも、電話のキーやピンを持っている場合はそうではありません。

が銀行口座の場合は、アカウントマネージャーとのみ話してください。 PINや電話のキーコードを使わずに、他の（同じ銀行でも）賢明な取引を行う必要がある場合は、行わないでください。

アカウントマネージャーと話しています。つまり、彼女はあなたのアカウントをチェックするためにそれほど多くの情報を必要としませんでした。

私が国外にいるとき、私の少ない安全な銀行口座は電話してくださいとなり、取引を許可する前にたくさんの私的なことを尋ねます

そしてこれをしなさい。

言わないでください
アカウントマネージャーに電話のキーコード、PIN、RSAキーを尋ねます

ステップ2を実行できない場合

電話のキーコード、ピン、またはRSAキーをサポートする銀行の銀行口座を開く
安全でない現在の銀行口座を閉鎖する
言わないで

Lucas Kauffman · Answer

あなたが尋ねる必要がある質問は、安全ではないと思うのに、なぜ私はまだその銀行にいるのですか？

これは確かにベストプラクティスとはほど遠いものであり、これは確かに安全ではないと言って間違いありません。銀行がすべて安全であると言った人はいません。正直なところ、これはおそらく本当に悪いことです。私が知っているほとんどの認証メカニズムは、2要素認証を必要とします。

私が知っているほとんどのテレフォンバンキングソリューションでは、まず銀行のWebインターフェース（ピンコードなど）を介して安全なコードを作成する必要があります。ウェブインターフェースはカードリーダーを使用して、時間制限のある認証トークンを生成します。

PIN銀行へのダイヤルに必要なコードを取得したら、クライアントIDとPINを送信します。これで、認証されたと見なされます。

あなたがさらに少しつまづくなら、あなたは電話も安全な媒体と考えられていないと言うことができます。セキュリティは、常にユーザビリティとリスクとのトレードオフです。幸いにも、ほとんどの銀行はあなた自身のためにリスクを取ります（ただし、適切な注意を払って行動しなかったことを証明できる場合を除きます）。いずれにせよ、不払いの評判的損害がより深刻なものになるため、ほとんどの銀行がこれを負担します。ただし、業界のベストプラクティスに準拠していないように思われることを考えると、銀行がこれをどのように管理しているかに依存します。クライアントのアカウントの詐欺に関する彼らのポリシーは何でしょうか。

ほとんどのヨーロッパの銀行はすでにこの種の対策を講じているか、採用する予定です。私はアメリカの銀行にはあまり詳しくありませんが、セキュリティに関しては、一般的に少し遅れています（少なくともそれは私が聞いたことです）。