Passwortrichtlinien - eine kundenorientierte Sichtweise: die guten, die schlechten und die hässlichen

In diesem kurzen Artikel werden Kennwortrichtlinien mit den Augen des Kunden betrachtet - sei es ein Endkunde oder ein Händler. Ich persönlich bin frustriert über die Explosion der Komplexität beim Zugriff auf Websites und dachte, es lohnt sich, das Problem weiter zu untersuchen.

"Sicherheitsinflation" ist endemisch

Nach meiner Erfahrung betrachten Versicherungsunternehmen und Banken Passwortrichtlinien und -verfahren ausschließlich unter dem Gesichtspunkt der Sicherheit. Anschließend lassen sie sich von ihren internen IT-Sicherheitsspezialisten beraten, die ihrer beruflichen Verantwortung treu nachkommen und nicht schuld sind, wenn sie über alle unzähligen möglichen Schwächen beraten, die auftreten können. In Ermangelung eines internen Befürworters der Kundenerfahrung, der eine alternative Sichtweise bietet, beschließen die Unternehmensleiter, Geld auszugeben und die Sicherheit zu erhöhen. Der Zyklus scheint sich zu wiederholen, und wir haben am Ende einen Standardzustand „Business as usual“, den ich als „Sicherheitsinflation“ bezeichne. Irgendwo scheinen Unternehmen die Fähigkeit verloren zu haben, in diesem Bereich überlegte Urteile zu fällen, die Risiko und Ertrag in Einklang bringen und dann eine kommerzielle Entscheidung treffen. Stattdessen scheinen sie trotz aller gegenteiligen Beweise zu glauben, dass es in diesem Bereich möglich ist, eine Zone mit „Null-Risiko“ zu erreichen.

Ich denke, die Aufsichtsbehörden müssen auch überlegter urteilen und unnötig drakonische Ansätze für Passwortrichtlinien vermeiden.

Lassen Sie uns über die Benutzer nachdenken

Daher wird dieser Artikel eine kundenorientierte Sichtweise einnehmen und die aktuellen Kennwortrichtlinien untersuchen, die heute existieren. Dabei möchte ich veranschaulichen, dass Unternehmen unterschiedliche Ansätze für Kennwortrichtlinien verfolgen können und dies auch tun - und zumindest einige haben die erforderlichen Kompromisse eingegangen.

Beginnen wir also damit, als Kunde zu denken. Das erste ist, dass ich meiner Bank oder Versicherungsgesellschaft vertraue, dass sie in diesem Bereich angemessene Policen abschließt. In allen Beispielen, die ich gebe, gehe ich davon aus, dass der implementierte Sicherheitsansatz einen angemessenen Mindestmaßstab erfüllt (dh mindestens ein Experte für Compliance, Risiko und Sicherheit hat diese Ansätze unterzeichnet):

Um zu zeigen, wie absurd Entscheidungen sein können, habe ich das „Gute“ einer multinationalen Bank in einem Land und das „Hässliche“ derselben globalen Bank in einem anderen Land erlebt. Und die Standards variieren innerhalb der Länder, dh die Vorschriften sind in diesen Angelegenheiten nicht absolut und lassen Banken und Versicherern Raum, ihre Policen kundenfreundlicher zu gestalten.

Die einzige Bank, die eine positive Erwähnung für Innovation verdient, ist die Standard Chartered Bank in Singapur. Sie machten ihren physischen zweiten Faktor zu ihrer Kreditkarte, indem sie ein Tastenfeld in die Kreditkarte selbst einfügten. Sie ermöglichen auch einen liberalen Ansatz für den Zugriff auf Bankdaten auf hoher Ebene mit einem einfachen numerischen Passwort. Gut gemacht - und ich bekomme meine Stimme für Kundenfreundlichkeit.

Die Nichtbanken, die sich in diesem Bereich auszeichnen, sind PayPal, der Apple Store und der Amazon Store, die passwortgeschützte Transaktionsfunktionen für Online-Einkäufe bereitstellen können, ohne dass die Kreditkartendaten erneut eingegeben werden müssen. Sie alle verwenden nur numerische Passwortsysteme.

Wir brauchen einen kundenorientierteren Zugang zu Technologie

Was ist die Zukunft?

Das Passwort / 2FA ist wahrscheinlich ein grundlegend fehlerhafter Ansatz, und man würde hoffen, dass sich biometrische Lösungen schnell entwickeln, um einen schnellen und bequemen Zugriff auf personenbezogene Daten und Transaktionsfunktionen zu ermöglichen. Es gibt einige Berichte, dass Apple die Biometrie von Fingerabdrücken für die nächste Version des iPhone untersucht - dies wird ein interessanter Test dafür sein, wie „kampfbereit“ die Technologie tatsächlich ist.

Was ist deine Erfahrung?

Es würde mich interessieren, von anderen über ihre Ansichten und Erfahrungen in diesem Bereich zu hören. Welche Frustrationen haben Sie erlebt und was ist der kundenfreundlichste Ansatz, den Sie je gesehen haben?