Ponieważ było tu trochę zamieszania, chciałem dodać kolejną (i miejmy nadzieję ostatnią) odpowiedź, aby skonsolidować wszystkie krążące informacje.
Po pierwsze, jakiego rodzaju kody PIN czy istnieją w dzisiejszym świecie bankowości?
PIN posiadacza karty:
To jest kod PIN należący do Twojej karty debetowej lub kredytowej. Nic dziwnego, że istnieje również norma ISO dotycząca zarządzania takimi kodami PIN. Więc będzie to dość rutynowe dla prawie wszystkich banków. W wielu przypadkach będziesz musiał podać maszynie PIN posiadacza karty. Dzieje się tak, gdy za coś płacisz lub wypłacasz pieniądze.
Żaden poważny bank nigdy nie poprosi Cię o podanie tego numeru, a jeśli ktoś to zrobi, prawdopodobnie jest to oszustwo.
Kody PIN do bankowości telefonicznej:
Większość banków (z którymi się przynajmniej spotkałem) ma oddzielny PIN do bankowości telefonicznej. Jest to kod PIN, za pomocą którego możesz uwierzytelnić się telefonicznie przed agentem lub zautomatyzowanym systemem (zobacz podobne pytania tutaj, tutaj, a zwłaszcza tutaj). Przyjrzyj się im, a odpowiedzą na większość pytań, które możesz zadać.
Kody PIN do bankowości internetowej:
To jest kod PIN, którego używasz do wszystkich potrzeb związanych z bankowością internetową . Szczerze mówiąc, Twój kod PIN do bankowości internetowej jest w zasadzie hasłem do logowania się do konta bankowego online. Niektóre banki robią niepewne rzeczy za pomocą kodu PIN bankowości internetowej, ale większość banków tego nie robi. To, co zrobią, jest dość rutynowe i dokładnie to, czego można oczekiwać od normalnego zachowania związanego z zarządzaniem wrażliwymi hasłami. Większość banków używa tego kodu PIN tylko do bankowości internetowej. ALE niektóre banki używają tego kodu PIN również do bankowości telefonicznej (na początku też była to dla mnie nowość).
Jaka jest tutaj duża różnica?
Numer PIN posiadacza karty służy do bezpośredniego dostępu do środków (gdy jest w posiadaniu karty). To sprawia, że jest znacznie bardziej wartościowy niż pozostałe dwa. Czemu? Ponieważ dzięki kodom PIN do bankowości internetowej i telefonicznej uzyskujesz dostęp do systemu zarządzania swoimi środkami. Jeśli te systemy są dobrze zaprojektowane, będziesz potrzebować drugiego czynnika do autoryzacji wszelkich wprowadzonych zmian. Czy to przelew pieniędzy, ustanowienie zlecenia bankowego czy zmiana adresu. Więc teoretycznie przeciwnik zrobił duży krok w kierunku przejęcia kontroli nad Twoim kontem bankowym, kradnąc jeden z tych ostatnich PIN-ów, ale tak naprawdę nie może wiele zrobić, nie mając również kontroli nad tym, co dostarcza drugi czynnik.
I co teraz?
Różne kody PIN zazwyczaj uwierzytelniają Cię w różnych systemach. Jeśli bank używa tego samego kodu PIN dla dwóch różnych systemów, może to nie być najlepszy sposób, ale jest to sposób na zrobienie tego. Jeśli nie podoba Ci się to, poproś o inną formę uwierzytelnienia. Dowiedz się, jaka jest typowa forma uwierzytelnienia przez telefon w banku. Jeśli nie ma informacji w interwebz, po prostu zadzwoń ponownie, poczekaj na innego agenta i zobacz, jakiego rodzaju poświadczeń chce. Jeśli nie ufasz agentowi ludzkiemu, poproś o uwierzytelnienie w systemie automatycznym. chociaż ktoś może nasłuchiwać
Wniosek:
To nie jest najgorsza rzecz na świecie. To nie jest najlepsza praktyka (z mojego doświadczenia). Nie jest to zbyt uspokajające. Ale to nie znaczy, że jutro wszystkie twoje fundusze przepadną.
Jeśli to nie pasuje do Twojego modelu zagrożeń, zawsze możesz zagrozić , że opuścisz bank dla innej firmy, jeśli ta nie zmieni swojej polityki. Powiedz im dlaczego, może coś z tym zrobią. Odejdź, jeśli tego nie zrobią. Jest to szczególnie ważne, jeśli nie mają żadnej formy 2FA w swoich systemach.
Bankowość telefoniczna jest zawsze odrobinę niepewna, ponieważ w grę wchodzą inni ludzie. Ludzie popełniają błędy, aw niektórych przypadkach mogą być przestępcami.
Jest na to proste rozwiązanie: przestań korzystać z bankowości telefonicznej.
Ważne: większość rozwiązań wymienionych w komentarzach ma nie rozwiązuje tego problemu. Systemy automatyczne mogą zostać zhakowane lub wykorzystane, pytania bezpieczeństwa mogą zostać zarejestrowane itp. Jeśli agent pracujący w centrum obsługi telefonicznej, który obsługuje bankowość telefoniczną, chce Cię oszukać, prawdopodobnie może - jeśli nie ma kontroli bezpieczeństwa. > Dobrą rzeczą jest to, że większość banków na to nie pozwala, ponieważ pracuje tam wielu mądrych ludzi, którzy zastanawiają się nad tymi rzeczami.
Wiesz, dlaczego? Nie jesteśmy pierwszymi chłopakami i dziewczynami, którzy martwią się, że zostaną oszukani.