Pourquoi les institutions financières utilisent-elles des noms d'utilisateur plutôt que des e-mails pour se connecter?
Je repense une application et je recherche l'utilisation des options de connexion par e-mail par rapport au nom d'utilisateur. Notre application fonctionne avec des institutions financières et pour cette raison, il a été dit que les noms d'utilisateur sont nécessaires pour des mesures de sécurité supplémentaires. Je ne trouve pas d'informations supplémentaires pour étayer cette affirmation et j'ai examiné des questions similaires pour voir s'il existe des informations prouvant ou infirmant cette approche.
En regardant plusieurs sites bancaires, j'ai réalisé que cela semble être la norme parmi les institutions financières. Paypal semble être l'exception car il est plus facile de vérifier l'identité des transferts d'argent ou des organisations lors de l'utilisation du courrier électronique.
Pourquoi la plupart des institutions financières utilisent-elles des noms d'utilisateur plutôt que des e-mails pour se connecter?
Existe-t-il des normes qui dictent que cela est plus sûr ou est-ce un facteur de confiance pour la convivialité?
J'ai examiné les messages suivants qui pointent tous vers l'utilisation d'e-mails ou d'e-mails et de noms d'utilisateur pour les options de connexion, mais ne traitent pas si un nom d'utilisateur fournit une couche de sécurité supplémentaire.
- Lorsque le nom d'utilisateur est une adresse e-mail, le champ doit-il être appelé "nom d'utilisateur" ou "e-mail"?
- Champs du nom d'utilisateur ou de l'adresse e-mail
- champ email ou nom d'utilisateur pour se connecter à une application?
- Accès au contenu sécurisé
- Noms d'utilisateur vs noms réels
- Pourquoi voudriez-vous, pour un site d'authentification local, avoir des noms d'utilisateur, au lieu d'utiliser une adresse e-mail pour vous connecter?
- Nom d'utilisateur ou e-mail de transfert d'argent
Il y a de nombreuses raisons:
- Cela empêche quelqu'un de provoquer le verrouillage malveillant d'un compte elses (si je connais votre adresse e-mail et que vous effectuez des transactions bancaires avec Barclays, je peux vous verrouiller hors de votre compte en essayant à plusieurs reprises de mauvais mots de passe).
- Comme @AlexFritz l'a indiqué, il est plus difficile d'essayer des combinaisons de nom d'utilisateur et de mot de passe piratées à partir d'autres sites du site bancaire.
- Il est plus difficile de parcourir plusieurs comptes en essayant quelques mots de passe communs sur chacun
- Il augmente la quantité d'informations qu'un attaquant a besoin de connaître (essentiellement, l'ID utilisateur est un peu d'informations que vous êtes censé écrire ou autrement enregistrer, mais qui prolonge toujours la longueur effective du mot de passe).
- Les adresses e-mail peuvent être réutilisées. Vous ne voulez pas que quelqu'un qui se fait réattribuer une adresse e-mail utilisée puisse effectuer des demandes de réinitialisation de mot de passe, etc.
Tout cela doit être mis en balance avec un utilisateur capable de se souvenir de son nom d'utilisateur. Sur de nombreux sites, il existe une fonction m'envoyer mon nom d'utilisateur liée à une adresse e-mail.
Je peux parler à partir des comptes bancaires que je connais en Europe: vous même pas besoin d'un e-mail adresse pour avoir un compte bancaire en ligne, car l'enregistrement se fait généralement hors ligne - vous obtenez Pin et tout par courrier postal.
Étant donné que vous n'avez pas besoin d'un e-mail pour utiliser le compte, il n'est pas logique d'utiliser l'e-mail comme nom d'utilisateur.
Il y a beaucoup de bonnes choses ici, mais il manque un point clé: vous ne pouvez pas utiliser une adresse e-mail pour une réinitialisation du mot de passe, car elle n'est pas suffisamment sécurisée, et vous n'utilisez pas d'inscription par e-mail. Ce sont les deux principales raisons pour lesquelles presque tous les services en ligne ont une adresse e-mail associée. Sans eux, il n'y a aucune raison de ne pas utiliser de nom d'utilisateur à la place.
D'après mon expérience du gouvernement local, où l'argent était impliqué, les noms d'utilisateur fournissent un autre niveau de sécurité au-delà d'une adresse e-mail.
L'opinion générale était que quelqu'un pouvait associer une adresse e-mail à une personne mais qu'un nom d'utilisateur pouvait être unique pour ce site.
C'est une mesure assez arbitraire, mais c'est une mesure.
Le courrier électronique est moins sûr que les services bancaires en ligne (j'espère), alors peut-être que la pensée est que, comme les gens ont tendance à utiliser les mêmes mots de passe pour tout, l'utilisation du courrier électronique au lieu du nom d'utilisateur pour la connexion bancaire créerait une vulnérabilité en cas de fuite de mots de passe de messagerie, le voleur pourrait faire le tour et essayer cette combinaison de mot de passe de messagerie un tas d'endroits, et probablement réussir à entrer dans au moins certains d'entre eux. Avec un nom d'utilisateur, le voleur devra faire plus de travail pour obtenir toutes les informations dont il a besoin pour accéder au compte. Ce n'est donc pas exactement une mesure de sécurité étanche, mais c'est un peu plus sûr que de laisser les clients utiliser leur adresse e-mail.
En tant que développeur créant une application pour les marchés financiers, je ne veux pas vérifier la validité des adresses e-mail en vérifiant auprès de fournisseurs de messagerie tiers, même s'ils sont bons. Je n'autorise même personne à s'inscrire par lui-même. Un administrateur les inscrit, leur donne un nom d'utilisateur. La page de connexion elle-même est également un https. C'est simplement parce que toutes les banques, les institutions financières ont une très grande liste de questionnaires de sécurité qu'ils vous jettent et au moment où vous avez terminé de répondre Oui à tous ceux-ci, vous avez créé des noms d'utilisateur admin, https avec SSL fourni par un grand fournisseur de confiance , réinitialisation du mot de passe par l'administrateur, audit de chaque action de l'utilisateur, murs chinois, etc., etc.
Pour des raisons de sécurité, les institutions financières sont rarement acceptées comme nouvelles technologies ou nouvelles méthodes, car elles ne prendront aucun risque en utilisant des choses non prouvées ou inhabituelles. De nombreux sites e-banking fonctionnent avant la connexion à l'ère avec un e-mail si populaire aujourd'hui. Les méthodes de nom d'utilisateur/mot de passe sont courantes à cette époque. Ils ne prendront tout simplement aucun risque inutile. Si le nom d'utilisateur fonctionne et pourquoi utiliser le courrier électronique?