我将不同意我的一些同事的观点，并建议世行的解决方案比您提出的替代方案更安全。虽然也不理想。让我们看看每个解决方案及其攻击配置文件。

地址、SSN、出生日期等。
我们都应该能够同意这些绝对是可怕的想法。事实造成可怕的密码，永远不应该使用。没有例外。字面上没有例外。如果有人可以研究它，那么您就不能用它来验证自己。时期。几乎所有的安全问题都符合这条规则。这让人很难堪。这种技术经常被利用，通常是高调的目标。我们应该知道得更多，但我们会继续使用它。这需要停止。

网站密码
虽然不理想，但这解决了研究问题。它仍然可以与安全散列一起使用，因为支持代表必须逐字输入密码来验证它，而不是从屏幕上读取它。您的潜在攻击是：(a) 收听的人可以重复使用它来通过电话冒充您，以及 (b) 收听的人可以在网站上使用它。不过，如果有更多的公司这样做，我们会更安全。我们可以做得更好，但至少您不必担心有人会查看您长大的街道或信用卡号码的最后一位数字，然后使用该信息接管您的帐户。

Call-In Pin
这是 Godaddy 的解决方案。您的帐户上有一个 4 位数的号码，您必须在致电支持时提供该号码。更好的是它解决了上面的问题（b）——您不能使用呼入密码登录网站。但是问题（a）仍然存在。除非您将其重置，否则该 pin 不会更改，因此听到您对话的攻击者可以冒充您。除以下内容外，其他“输入密码”往往属于此类，容易受到“重放攻击”。

一次性密码
这是 PayPal 的解决方案，也是目前最好的解决方案。当您在您的 PayPal 帐户上单击“联系我们”时，您将获得一个一次性使用的有时间限制的 6 位数密码，您必须通过电话提供该密码。它会在 60 分钟后或您使用一次后过期，因此窃听者无法冒充您。而且它是随机的，所以无法预测。如果您要为自己实施解决方案，这就是这样做的方法。PayPal 多年来一直在这样做，到目前为止，它对他们有效。

正如您所建议的那样，通过电话进行身份验证的“告诉我一些关于您自己的事实”的方式确实不应该被允许；可惜很多公司都这样做。通过电话提供您的网站密码要好得多（公平地说，任何事情都更好），但它会带来一些问题。在线认证，然后获得一次性密码——这是我可以尊重的解决方案。

请注意，银行愿意回退到要求您提供 SSN 或地址等的事实是这里真正的丑闻。如果您拒绝安全地对自己进行身份验证，则不应让您选择提供有关您试图冒充的受害者的一些事实。

作为一种身份验证机制，密码还不错——事实上，密码是用于身份验证的。从历史上看，电话线很容易被监视，但那是在互联网出现之前的几天。我并不是说电话线现在更安全了。相反，想要监视银行密码的人专注于计算机攻击，主要是因为他们可以在家中（或地下室或书房）舒适地进行攻击，而经典拦截通常涉及对户外设备的一些物理操作，这意味着暴露于气象因素，夜间摸索电线，蹲在垃圾箱下，以及其他对我们现在的年轻一代几乎没有吸引力的活动。

电话密码的问题在于银行培训他们的客户永远不要泄露他们的密码。至少我所有的银行都这样做。他们指出密码保密是我的责任。通过电话透露我的密码对我来说是一种严重的不当行为。他们发誓他们的代表永远不会要求我提供密码，无论是通过电话还是我与他们见面。

这种培训有充分的理由：它使客户对骗子更有弹性（这种攻击比计算机要古老得多，但不知何故，人们觉得有必要为此打造一个丑陋的新词——“网络钓鱼”——计算机）。现在，如果银行员工开始询问客户密码，那么所有培训都付诸东流。

安全需要用户的配合。合作是通过教育实现的。教育依赖于连贯性。您描述的员工行为与这种一致性相矛盾。

（@tylerl 公开了几种替代解决方案。他指出 SSN、地址和母亲的娘家姓是糟糕的身份验证方法是正确的。但我坚持重复使用网站的密码也好不到哪里去。）

采用的简单规则是永远不要泄露密码。正如您所说，它们应该以加密形式保存，此外，银行不需要密码来访问您的详细信息。他们应该最接近的是从“难忘的单词或短语”中询问随机字母，这不应该与您的密码相同。

你是对的，他们不需要知道你的密码，并且可以通过姓名、地址和 DoB 进行验证。无需告诉他们您的密码，这很可能违反公司规则“永远不要将您的密码告诉任何人”在使用密码时始终是#1。

- 编辑 -

我不知道其他公司发布“计费密码”或其他密码只是为了进行技术查询。Pin 或其他小的标识符是可能的，但对于大多数人来说，它通常是位置、出生日期和姓氏 + 对问题的秘密答案。