我试图在本周末与我试图与之开展业务的一家公司的客户服务发起在线聊天,但在他们回答我的任何问题之前,他们要求我给他们与我的帐户关联的 4 位数 PIN。出于所有意图和目的,这是我的密码,因为这与我的电子邮件地址一起是登录到我的帐户并执行任何操作所需的全部内容。(是的,它只有 4 位数字这一事实也不是特别令人放心!)
我回答说我不愿意透露这些信息,因为从不向任何人提供您的密码几乎是一种标准的安全做法,但如果我不向他们提供这些信息,他们几乎拒绝与我交谈。看到当我创建帐户时,我还必须给出一个“安全问题”(例如,你的第一只宠物的名字是什么,诸如此类),我也很困惑他们为什么不问这个问题。
我是否反应过度,或者我有理由拒绝提供这些信息?值得一提的是,与这家公司交谈的唯一其他方式是通过电话,这非常不方便。(更新:这并不是特别相关,但从他们所说的听起来他们也需要我的 PIN 才能在电话上交谈。)
你的行为对我来说是合理的。我从未被任何主要和受人尊敬的公司要求提供此类信息,无论是服务,甚至是帐户恢复。如果这件事给您带来很多不便,请向官方支持团队发送消息,看看是否真的需要这些信息。但请注意这一点 - 你可能会被骗。
我完全同意@ChrisTsiakoulas 的回答,即您的行为是合理的。然而,遗憾的是,这种做法并不像我们所希望的那样罕见。我打算通过这种做法为现实世界的情况添加更多色彩。
我遇到了您描述的确切情况,尽管它使用的是“正确”密码(称为密码并允许字母和数字)而不是严格的数字 PIN。
创建了在线帐户并选择了似乎仅用于在线登录的密码 - 我还被要求在电话上向人口头提供该密码,以便在对我的帐户进行任何操作之前验证我自己.
这是与PlusNet 合作的,它是英国主要的(流行的、大预算的、广告良好的) ISP。我和你一样被要求输入密码感到惊讶:在进一步询问客户服务人员后,我发现他们能够在我的档案上放一张便条,要求我提供安全答案而不是我的密码。然而,与此同时,我发现每当我打电话时,特工都会在他们的屏幕上以纯文本形式查看我的完整密码,然后再问我任何类型的身份验证问题。
我对此引起了很大的轰动,包括通过他们的投诉程序进行正式投诉,并将他们转介给英国的个人信息“监管机构” ICO。我的论点是,这种不安全的过程极大地危及了他们持有的关于我的个人信息的安全性(包括银行详细信息,因为我通过直接借记支付)。然而可悲的是,内部投诉和我的 ICO“案例”都导致对方没有看到或承认这种情况有什么问题。似乎至少在英国法律中,这种做法是完全可以的,并且与我们的数据保护立法没有冲突。
请注意,我已经很长时间没有给 PlusNet 打电话了(尽管我仍然使用它们)所以我无法确认这是否是当前的政策。自从我投诉以来,他们可能已经改变了做法,不管我的投诉本身没有结果。
不幸的是,即使在今天,仍有一些大公司的人工客户服务代理要求您(无论是通过聊天、电话还是其他方式)告诉他们您的 PIN、密码或密码是一种常规做法。
以美国此类情况中的一个非常突出的类别为例,当您致电四大国家移动运营商之一的客户服务时,现场的人工代表要求您告诉他们您的 PIN 作为一部分并不少见验证您实际上是帐户持有人的过程。此外,当您进入一家运营商的实体店并获得面对面的客户服务时,一些主要的运营商甚至会要求您将您的 PIN 告知代表。要详细了解如何以及何时必须向美国运营商的人工代理提供 PIN,您可以查看AT&T 的政策。就此主题而言。或T-Mobile 的. 或者Sprint 的. 关键是,在这个非常非常重要的示例行业中,这仍然是一种常见的客户服务程序。(毫无疑问,其他一些人也是如此。)
现在,需要明确的是,这里的问题肯定不是公司要求客户提供 PIN 才能访问他或她的帐户或更改他们的服务。事实上,要求 PIN 是一种比仅允许假定的帐户持有人使用静态个人信息(如其社会安全号码的最后四位数字)进行身份验证的方法要好得多,这些信息如今可以很容易地从公共或非法来源收集. 正如您所指出的,问题是客户必须如何提供 PIN. 现在,当今大多数主要行业的大多数主要公司都以正确的方式做事:客户将他们的帐号(或其他用户标识符)和他们的 PIN 输入某种安全的计算机化系统——无论是通过按键电话进入客户服务呼叫系统,客户必须在网站上进行身份验证的安全页面,或用于店内情况的信息亭或密码键盘,然后将其发送给人工支持代理。PIN/密码/密码/不应直接提供给支持人员。时期。但是,唉,在 2016 年,我们仍然不能说所有可能交易的主要实体都遵守这一规定。