05
מרץ
10

אימות זהות משתמשים ולקוחות

אחד הקשיים הגדולים שארגונים שונים נתקלים בהם הוא אופן אימות הלקוחות לצורך שימוש בתקשורת אלקטרונית, כאשר אין אפשרות פיזית לפגוש אותם. הבעיה קיימת גם באימות הראשוני לצורך הצטרפות לשירות, אך בעיקר לאחר מכן. למשל, כאשר עולה צורך לאפס סיסמא לאתר או לבצע פעולה רגישה כגון ביצוע תשלום.

בבנקים, האימות הראשוני נעשה בסניף, בו מסופקים אמצעי זיהוי לאתר הבנק ולשירות הטלפוני. במגזרים אחרים, לעומת זאת, אין מגע ישיר עם הלקוח. למשל, חברות תקשורת, חברות ביטוח, קופות חולים (אלא אם כן אתם חולים ומבקרים במרפאה) וכדומה.

ארגונים שונים קבעו לעצמם אמצעי אימות שלא תמיד תואמים את דרישות אבטחת המידע. לפעמים זה נובע מצורך עסקי, לפעמים מהיעדר מידע חיוני המאפשר אימות ולפעמים מחוסר מודעות.

אחת המתקפות הכי קלות לביצוע הינה מתקפת Social Engineering. באחת הואריאציות של המתקפה, משטים בנציג הטלפוני של הארגון המותקף ומאפסים סיסמא של משתמש/לקוח ובלי כל קושי נכנסים לחשבון שלו.

כל זה הולך להשתנות בקרוב. רשם מאגרי המידע פרסם לאחרונה "טיוטת הנחיה בנושא דרישת מינימום לאמצעי זיהוי של נושא מידע לצורך מתן גישה למידע שעליו במאגר מידע".

רק דליפה (אפרופו החששות לקיום מאגר ביומטרי) של מרשם האוכלוסין ( "אגרון" ) גרמה לאנשים שם למעלה להבין, באיחור רב, שנדרש להסדיר אילו פרטי אימות מינימליים נדרשים לצורך אימות לקוחות.

אם התקנה תיושם בצורה טובה בארגונים, יהיה הרבה יותר קשה להשיג נתוני זיהוי או מידע רגיש של לקוחות.

בשורה התחתונה, התקנה החדשה אומרת שאין לאמת לקוח עפ"י הנתונים הרשומים במרשם האוכלוסין – קרי ת.ז., פרטים אישיים, כתובות מגורים וכדומה. זה נשמע מובן מאליו. לצערי, היו לי מלחמות רבות עם מנהל בארגון שחשב שאני מייצר פניקה מיותרת ושמספיק לאמת לקוח עפ"י ת.ז. וכתובתו. אותו מנהל כבר לא בארגון… חתום

להלן ציטוט אחד מטיוטת התקנה: "…יש לבצע את אימות זהות נושא המידע תוך שימוש בלפחות נתון אחד אשר אמור להיות ידוע אך ורק לנושא המידע." בהמשך הם אפילו ממליצים על שימוש ברכיב זיהוי פיזי (something the user has).

כל זה מתחבר לטיוטת תקנות אבטחת מידע להגנת פרטיות שפרסם לאחרונה משרד המשפטים. בבלוג של ישי ורטהימר תמצאו ריכוז יפה של סעיפי התקנה.

מודעות פרסומת

0 Responses to “אימות זהות משתמשים ולקוחות”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


מרץ 2010
א ב ג ד ה ו ש
« ינו   אפר »
 123456
78910111213
14151617181920
21222324252627
28293031  

%d בלוגרים אהבו את זה: