Warum verwenden Finanzinstitute Benutzernamen anstelle von E-Mails für die Anmeldung?
Ich entwerfe eine Anwendung neu und untersuche die Verwendung der Anmeldeoptionen für E-Mail und Benutzername. Unsere Anwendung arbeitet mit Finanzinstituten zusammen und aus diesem Grund wurde mitgeteilt, dass Benutzernamen für zusätzliche Sicherheitsmaßnahmen erforderlich sind. Ich kann keine zusätzlichen Informationen finden, um diese Behauptung zu stützen, und habe ähnliche Fragen geprüft, um festzustellen, ob Informationen vorliegen, die diesen Ansatz belegen oder widerlegen.
Bei einem Blick auf mehrere Bankstandorte habe ich festgestellt, dass dies bei Finanzinstituten die Norm zu sein scheint. Paypal scheint die Ausnahme zu sein, da es einfacher ist, die Identität für Geldtransfers oder Organisationen zu überprüfen, wenn E-Mails verwendet werden.
Warum verwenden die meisten Finanzinstitute Benutzernamen anstelle von E-Mails für die Anmeldung?
Gibt es Standards, die vorschreiben, dass dies sicherer ist, oder ist es ein Vertrauensfaktor für die Benutzerfreundlichkeit?
Ich habe die folgenden Beiträge überprüft, die alle auf die Verwendung von E-Mails oder E-Mail- und Benutzernamen für Anmeldeoptionen hinweisen, aber nicht darauf eingehen, ob ein Benutzername eine zusätzliche Sicherheitsebene bietet.
- Wenn der Benutzername eine E-Mail-Adresse ist, sollte das Feld "Benutzername" oder "E-Mail" heißen?
- Felder für Benutzername oder E-Mail-Adresse
- E-Mail-Feld oder Benutzername für die Anmeldung in einer Anwendung?
- Zugriff auf sichere Inhalte
- Benutzernamen vs. echte Namen
- Warum sollten Sie für eine lokale Authentifizierungssite Benutzernamen haben, anstatt die E-Mail-Adresse zum Anmelden zu verwenden?
- Geldtransfer-Benutzername oder E-Mail
Es gibt eine Reihe von Gründen:
- Es verhindert, dass jemand, der ein anderes Konto hat, böswillig gesperrt wird (wenn ich Ihre E-Mail-Adresse kenne und Sie mit Barclays überweisen, kann ich Sie durch wiederholtes Ausprobieren falscher Passwörter von Ihrem Konto sperren).
- Wie @AlexFritz angedeutet hat, ist es schwieriger, gehackte Kombinationen aus Benutzername und Passwort von anderen Websites auf der Bankseite zu versuchen.
- Es macht es schwieriger, durch viele Konten zu iterieren und jeweils ein paar gemeinsame Passwörter zu versuchen
- Dies erhöht die Menge an Informationen, die ein Angreifer wissen muss (im Wesentlichen handelt es sich bei der Benutzer-ID um Informationen, die Sie notieren oder auf andere Weise aufzeichnen müssen, die jedoch die effektive Länge des Kennworts verlängern).
- E-Mail-Adressen können und werden wiederverwendet. Sie möchten nicht, dass jemand, dem zufällig eine verwendete E-Mail-Adresse zugewiesen wird, Anfragen zum Zurücksetzen von Passwörtern usw. ausführen kann.
Dies alles muss gegen einen Benutzer abgewogen werden, der sich an seinen Benutzernamen erinnern kann. Auf vielen Websites gibt es eine Funktion zum Senden meines Benutzernamens, die mit einer E-Mail-Adresse verknüpft ist.
Ich kann von den Bankkonten sprechen, die ich in Europa kenne: Sie brauchen nicht einmal eine E-Mail Adresse, um ein Online-Banking-Konto zu haben, da die Registrierung normalerweise offline erfolgt - Sie erhalten Pin und alles per Post.
Da Sie keine E-Mail benötigen, um das Konto zu verwenden, ist es nicht sinnvoll, E-Mail als Benutzernamen zu verwenden.
Hier oben gibt es viele gute Dinge, aber es fehlt ein wichtiger Punkt: Sie können keine E-Mail-Adresse zum Zurücksetzen des Passworts verwenden, da diese nicht sicher genug ist und Sie keine E-Mail-Anmeldung verwenden. Dies sind die beiden Hauptgründe, warum fast jedem Onlinedienst eine E-Mail-Adresse zugeordnet ist. Ohne sie gibt es keinen Grund, stattdessen keinen Benutzernamen zu verwenden.
Meine Erfahrung aus der Kommunalverwaltung, in der es um Geld ging, ist, dass Benutzernamen eine andere Sicherheitsstufe bieten als eine E-Mail-Adresse.
Es war die allgemein verbreitete Meinung, dass jemand eine E-Mail-Adresse mit einer Person verknüpfen könnte, ein Benutzername jedoch für diese Site eindeutig sein könnte.
Es ist eine ziemlich willkürliche Maßnahme, aber es ist eine Maßnahme.
E-Mails sind weniger sicher als Online-Banking (ich hoffe). Da die Leute dazu neigen, für alles dieselben Passwörter zu verwenden, würde die Verwendung von E-Mail anstelle des Benutzernamens für die Bankanmeldung eine Sicherheitslücke im Fall von undichten E-Mail-Passwörtern schaffen, so der Dieb könnte herumgehen und versuchen, diese E-Mail-Passwort-Kombination eine Reihe von Orten, und wahrscheinlich erfolgreich in zumindest einige von ihnen zu bekommen. Mit einem Benutzernamen muss der Dieb mehr arbeiten, um alle Informationen zu erhalten, die er benötigt, um auf das Konto zu gelangen. Es ist also nicht gerade eine luftdichte Sicherheitsmaßnahme, aber ein wenig sicherer, als Kunden ihre E-Mail-Adresse verwenden zu lassen.
Als Entwickler, der eine Anwendung für Kapitalmärkte erstellt, möchte ich nicht überprüfen, ob E-Mail-Adressen gültig sind, indem ich sie gegen E-Mail-Anbieter von Drittanbietern prüfe, auch wenn diese gut sind. Ich erlaube nicht einmal jemandem, sich selbst anzumelden. Ein Administrator meldet sie an und gibt ihnen einen Benutzernamen. Die Anmeldeseite selbst ist ebenfalls ein https. Dies liegt nur daran, dass alle Banken und Finanzinstitute eine sehr große Liste von Sicherheitsfragebögen haben, die sie Ihnen zuwerfen. Wenn Sie alle mit Ja beantwortet haben, haben Sie vom Administrator Benutzernamen erstellt, https mit SSL, die von einem großen vertrauenswürdigen Anbieter bereitgestellt werden , Passwort vom Administrator zurückgesetzt, jede Benutzeraktion, chinesische Wände usw. überwachen und so weiter und so fort ....
Aus Sicherheitsgründen werden Finanzinstitute selten mit neuen Technologien oder Methoden akzeptiert, da sie kein Risiko eingehen, wenn sie unbewiesene oder ungewöhnliche Dinge verwenden. Viele E-Banking-Websites werden vor der Ära mit einer heute so beliebten E-Mail-Adresse betrieben. Die Benutzernamen-/Passwortmethoden sind in dieser Zeit üblich. Sie gehen einfach kein unnötiges Risiko ein. Wenn der Benutzername funktioniert und häufig verwendet wird, warum E-Mail verwenden?