我在一家公司有一个学生贷款账户,不是最大的公司,但足够大,他们应该一起行动。今天我忘记了登录帐户仪表板的密码。我点击“忘记密码”,他们提示我 5 个问题。名字、姓氏、最后 4 位 SSN、生日和邮政编码。如果足够努力,所有很容易获得的信息,更不用说他们定期电子邮件中包含的有关付款的所有信息。在输入信息后,网站会回复说我已通过身份验证,并以明文形式提供我的密码。
因此,现在不仅找回丢失的密码详细信息非常容易,他们甚至不会将其发送到您的电子邮件,他们只是将其显示在屏幕上,最重要的是,他们将密码以明文形式存储在数据库中。这是一个帐户,其中包含我的数千美元贷款的详细信息以及我用于自动付款的银行详细信息。幸运的是,没有给出一个细节是我的用户名,这是我的完整 SSN,所以这是最后一道安全线;但是,如果他们存储未经哈希处理的密码,我确定我的 SSN 也不是,这会使情况变得更糟。
所以我的问题是,鉴于这是一笔我不能就这样离开的贷款/我可以采取哪些预防措施或步骤来使这可能更安全?是否值得给他们发电子邮件并纠缠他们以升级他们的安全性,还是我应该尽快付款并离开?如果我确实警告他们,我应该说他们容易受到哪些类型的威胁,以期将他们吓成补丁?