信息安全 - 我的银行支持人员刚刚要求我提供我的网上银行凭据 - 吾爱随笔录

我的银行支持人员刚刚要求我提供我的网上银行凭据

信息安全密码隐私银行

2021-08-11 09:39:03

正如标题所说，在与真人联系的过程中，我被要求输入我的网上银行密码。这是我永远不会做的事情，并且知道通话正在被记录（为了进一步改进我正在与之交谈的机器人）使情况变得更糟。

当然，在那之后，我挂断了电话，我很确定这是对隐私的侵犯，因为你被要求提供私人详细信息，而且它也没有任何加密。

以前有人问过这个吗？
这是正常的做法吗？
在说出我的 ID 号码后，机器人称我为“先生。my_last_name ”所以我猜这是一个合法的电话号码，但是，他们会被黑客入侵并且支持号码被劫持吗？
我应该采取什么行动吗？

4个回答

假设您使用已发布的号码给他们打电话，我会说这听起来像是一个交互式语音响应 (IVR) 系统，这在银行业中很常见。

这个概念是系统在将您传递给联络中心代理之前获取您的身份验证信息。从安全角度来看，这样做的好处是呼叫中心的座席在讨论您的帐户之前不必要求您进行身份验证。

如果正确实施，这应该不会比在网站上输入密码更不安全。有一个处理语音数据的自动化系统，它应该适当地存储/记录它。

当然，正如您指出的那样存在电话窃听的风险，但是如果您假设您的电话线路被窃听，那么任何形式的电话银行都是不安全的，因为他们必须以某种方式对您进行身份验证才能与您讨论您的帐户你。

编辑：添加更多细节，而不是将它们分散在可能被清除的评论周围。

基本上，银行必须以某种方式对您进行身份验证，无论您使用哪个渠道（例如网络、电话、分行）与他们联系，并且需要考虑权衡取舍。

一方面，每个频道拥有专用凭据很有用，因为它可以降低泄露风险，避免混淆“不要告诉别人你的网络密码”的信息，但它让用户有更多的凭据来管理，而且很可能是如果用户很少使用特定渠道，则需要大量重置密码（频繁重置会吸引所有漏洞）

因此，从提供的信息来看，这里使用的选项是结合网络和电话渠道的凭据，并在电话渠道上使用自动 IVR 系统，以避免将凭据提供给联络中心代理。这里的好处是单一的信用集，所以用户不会忘记它们，而坏处是我们看到银行消息“不要给别人你的密码”会导致使用这个系统出现问题的场景。

就 IVR 系统的安全性而言，这本质上与任何其他处理数据的系统一样。它需要得到适当的保护，以便不暴露用户凭据，这与 Web 渠道没有什么不同。

显然，像硬件（不是 SMS）2FA 这样的系统在这种情况下可以很好地工作，因为数字代码很容易传递到 IVR 系统，但这在成本和用户体验方面有它自己的权衡。

强制性警告信息：

永远不要将您的密码提供给任何人，也不要让这个答案以任何方式影响这种行为。

因为不可能知道这个特殊情况下的所有情况，所以在回答这个问题时需要进行一些推测。

如果我理解正确的话，情况如下：

OP 访问了银行的网站，查找了支持号码，然后他/她拨打了电话。在只提供了他/她的银行 ID（？）之后，该行末尾的机器人用他/她的姓氏向 OP 打招呼，然后要求提供网上银行密码。

是的，这可能是攻击者的网络钓鱼尝试。您访问的站点可能已更改，并且可能已设置另一个支持号码。做完这一切后，攻击者不得不等到 OP 自愿访问该站点¹再拨打该号码。攻击者还必须设置一个电话机器人，该机器人还能够将银行 ID 连接到 OP ²的姓氏。

这 - 至少对我来说 - 看起来像是一个非常大的努力来获得一个网上银行账户的密码，这在使用典型的网上银行系统时甚至没有那么有价值。您通常需要第二个因素来进行任何类型的货币交易。它仍然是银行帐户的妥协，但没有什么是无法修复的。

我非常怀疑这是一次网络钓鱼尝试。对我来说，这似乎不是一个好政策，特别是如果用户不清楚他们的在线密码也用于通过电话进行身份验证。

_{(1) 理论上，攻击者可以伪造某种紧急情况，然后引导用户拨打支持号码。}

_{(2) 除非 OP 在通话中早些时候犯了错误并提到了他/她的姓氏。}

是的，您应该采取行动，向您的银行报告，这很可能是一次网络钓鱼尝试。

这不应该发生，也不是正常的做法。

您的银行绝不会要求您提供密码或密码。

编辑：在阅读您的评论和澄清（在我的遮阳篷之后发布）之后，联系完全由您发起，这可能/很可能不是网络钓鱼尝试，并且是一个非常糟糕的政策（因为语音 id/生物识别应该不需要秘密密码才能工作）或在这种情况下要求提供信息以证明身份。

无论哪种方式，我都会联系您的银行（通过此电话号码以外的其他方式）并解释您的疑虑并从他们那里得到澄清，即此请求是合法的。

我不会相信这家银行。即使这个电话对他们的系统来说是完全合法的，它也只是证明他们至少在两个方面不了解安全隐患：

如果您的网络密码简单到足以让机器人发音，它可以很好地理解它以验证它确实是您的密码，那么对于像银行信息这样敏感的东西来说，它就不是一个足够安全的密码。通过强迫用户说出（或以某种方式通过键盘输入，这听起来真的像是地狱般的地狱）他们的密码，他们鼓励了不安全的密码。
从罗里的回答：

如果正确实施，这应该不会比在网站上输入密码更不安全。

和

就 IVR 系统的安全性而言，这本质上与任何其他处理数据的系统一样。它需要得到适当的保护，以便不暴露用户凭据，这与 Web 渠道没有什么不同。

在电话上交谈与在网络频道上交流非常不同。除非您使用从您到银行的加密电话线，否则通过该线路传输的任何内容都可能被窃听。而正确实施的 Web 登录不能被窃听，因为它使用端到端加密。事实上，在最好的实现中，您的密码永远不会以可恢复的形式传输，因此即使银行的网络服务器已被感染，它也无法发现您的密码（它只能验证您是否拥有正确的密码）密码）。这里讨论了为什么会使用或不会使用这种散列技术（除了已经加密的通信通道）：为什么密码的客户端散列如此不常见？

[T]他们必须以某种方式对您进行身份验证才能与您讨论您的帐户。

这是真的，但使用网络凭据不是这样做的方法。由于我上面提到的原因，电话交流具有内在的不安全感，如果可以的话，我不会通过电话做敏感的事情。

与任何事情一样，请接受我的建议。有兴趣使用您的在线密码对付您的个人或组织窃听您的电话线的可能性非常小。我让读者来权衡这种风险与银行不恰当地保护其他沟通渠道的风险，并选择他们愿意承担的风险水平。

你永远不会 100% 安全。您只能将风险降低到可接受的水平。

其它你可能感兴趣的问题

上一篇像 Google Authenticator 这样的一次性密码生成器与拥有两个密码有何不同？下一篇Windows“安全桌面”模式如何工作？