Seguridad mal entendida

10.410 33
 #1
Escrito   0  0  
Esto de la seguridad mal entendida es un mal endémico de la gran mayoría de servicios que se manejan por internet (banca a distancia, gestión de servicios de móviles etc.). Creen que más seguridad es hacer más la puñeta al usuario (meter mas contraseñas, bloquearse a la más mínima y tener que llamar a un engorroso sistema de atención que te entretiene previamente mediante una máquina inutil 2 o 3 minutos o simplemente que no están disponibles) pero al final sin conseguir el propósito real de aumentar objetivamente la seguridad.

Aquí toca hablar de la seguridad en Eroski Movil, el como la entienden y como es en realidad al ver el funcionamiento de Mi Eroski Movil y la atención personal del SAC.

PRIMER FALLO IMPORTANTE RELACIONADO CON LA SEGURIDAD:
Si se pierde o te roban el movil, puedes bloquearlo llamando a atención al cliente, pero si estás fuera de horario (noches o domingos) te dice la locución que lo bloquees a través de Mi eroski movil. Entonces pueden pasar varias cosas no previstas:

1) Puedes no tener la contraseña para ello y para conseguir una contraseña tienes que RECIBIR UN MENSAJE EN EL MOVIL, obviamente imposible, pues lo has perdido o te lo han robado

2) Aunque tengas contraseña, es posible cambiarla con solo solicitarlo en la página sin más ("Crear nueva cuenta") y se recibe por SMS por lo que la conocerá EL QUE TIENE ACCESO AL MOVIL, NO NECESARIAMENTE EL DUEÑO. Por tanto si CAMBIAN LA CONTRASEÑA ANTES DE QUE TE DE TIEMPO DE REACCIONAR, estás perdido

Hay quien piensa que se usan los envíos al movil en forma de SMS porque son más seguros, pero no necesariamente es así. Es más seguro cuando se utiliza como VIA ADICIONAL para otras gestiones (ej. servicio bancario), pero no cuando lo que te envían está relacionado con la gestión del propio movil puesto que lo pone en compromiso (te lo roban y encima le das la llave de su gestión).

También que sea tan fácil cambiarte la contraseña, aunque no tengan acceso a ella, es una fuente de engorro de alguien que quiera hacerte la puñeta.

SEGUNDO FALLO Y ENGORRO DE GESTIÓN

Resulta que en Eroski movil, los bloqueos y demás gestión de los servicios se pueden realizar desde Mi Eroski Movil. Pero en el tema de los bloqueos resulta que PUEDES BLOQUEAR PERO NO PUEDES DESBLOQUEAR. Pone gestión de bloqueos (que más tarde te das cuenta que resulta ser literal, ya que no gestiona los desbloqueos)

Para desbloquear llamadas tienes que llamar al SAC, pero solo sirve cuando te puede atender un operador y eso excluye muchas horas y al parecer TODO EL DOMINGO.

Llamas y efectivamente después de tragarte minutos de locución de una máquina que te pregunta en que idioma bla bla bla, que servicio quiere 1 para .. 2 para ... ", logras que te atiendan y te quitan el bloqueo en cuestión (el próximo bloqueo tendrás que pensártelo y cuidadín no equivocarte). Preguntas, ¿Por qué no dejan que se pueda bloquear y también desbloquear desde la página? No hombre, te contestan, es por seguridad: imagina que alguien consigue la contraseña y lo desbloquea sin tu permiso (cierto pienso por un momento, como comentaba en el primer fallo) pero claro luego recapacito: si obtiene tu contraseña le digo, le basta con ir al apartado "Identificación del cliente" y ya tiene mi nombre completo y DNI que es lo Ud. me ha pedido supuestamente por seguridad. Obviamente se cae el argumento

CONCLUSIÓN: Quieren seguridad, añaden ENGORROS para justificar y aparentar seguridad y finalmente SIGUEN SIN OFRECER SEGURIDAD o a veces hasta la empeoran. Esto desgraciadamente pasa mucho en este entorno de los servicios online, porque los que los diseñan son meros aficcionados o mejor dicho ni eso (yo solo me considero aficcionado)

SUGERENCIA: Si queréis seguridad de verdad, no inventéis solos ni mucho menos parcheeis. Cambiar el sistema. Dejar al usuario que pueda gestionar online cuantas más cosas mejor (os molestaran y se molestara menos) e implantar un sistema de autentificación con garantías (2 fases, email, DNI-e ...).

Y en el tema de bloqueos o desbloqueos ¿qué problema hay con mantener el clásico de *33*CLAVEBLOQUEO# ó *331*... y así no tener que molestar al SAC para eso.
 #2
Escrito   0  0  
Fulgen, sin quitarte la razón¹, ese gran operador de color azul llamado Movistar tiene el mismo sistema Y, sí, por si te lo estás preguntando, esa página de registro sirve también para recuperar la contraseña (fui cliente prepago allí y tuve que hacerlo una vez (en contrato piden el DNI también)).

Lo primero, no dejarse el móvil en cualquier sitio o que te lo roben.

¹ Yo sería partidario del certificado digital de la FNMT o, en su defecto, del DNI-e (porque suele ser más engorroso por lo del lector y tal).
 #3
Escrito   0  0  
Cierto. Tampoco veo muy serio ese sistema de reseteo de contraseña del azul, aunque hay diferencias.

1) La gestión de restricciones y bloqueos funciona como la mayoría, por códigos en la red y con una contraseña propia que solo se puede poner y cambiar desde el movil y que no aparece ni se puede obtener de ningún sitio (salvo que la pueden resetear si la olvidas a la 0000 original desde el SAC)

2) El acceso al canal cliente no te da mucha información. Solo recargas, caducidades y si acaso listado de llamadas. No te pone ni el nombre ni el DNI del usuario. Aun así te podrían hacer alguna pifia como cambiarte la tarifa, pero en prepago son todas igual de malas

3) No se ahora, pero al menos antes tenía atención al cliente personal 24h para poder bloquear una línea en caso de pérdida o robo. De hecho el canal cliente no sirve para eso, mientras que el de EM si.

Tampoco hace falta un certificado como tal, ya que restringiría mucho el uso a los usuarios menos avanzados. Con el uso del correo electrónico podría sobrar, aunque claro, hay que llevar cuidado porque ahora lo que se pierden son smartphones y es posible que alguien lleve la cuenta de email sin proteger. De todas formas la clave podría estar en usar un nombre de usuario que no sea ni el DNI ni el número de teléfono y que para recuperar o resetear la contraseña haya que dar todos esos datos (DNI, tlf y usuario)
 #4
Escrito   0  0  
quote:
Originalmente escrito por fulgen
Cierto. Tampoco veo muy serio ese sistema de reseteo de contraseña del azul, aunque hay diferencias.

1) La gestión de restricciones y bloqueos funciona como la mayoría, por códigos en la red y con una contraseña propia que solo se puede poner y cambiar desde el movil y que no aparece ni se puede obtener de ningún sitio (salvo que la pueden resetear si la olvidas a la 0000 original desde el SAC)

2) El acceso al canal cliente no te da mucha información. Solo recargas, caducidades y si acaso listado de llamadas. No te pone ni el nombre ni el DNI del usuario. Aun así te podrían hacer alguna pifia como cambiarte la tarifa, pero en prepago son todas igual de malas

3) No se ahora, pero al menos antes tenía atención al cliente personal 24h para poder bloquear una línea en caso de pérdida o robo. De hecho el canal cliente no sirve para eso, mientras que el de EM si.

Tampoco hace falta un certificado como tal, ya que restringiría mucho el uso a los usuarios menos avanzados. Con el uso del correo electrónico podría sobrar, aunque claro, hay que llevar cuidado porque ahora lo que se pierden son smartphones y es posible que alguien lleve la cuenta de email sin proteger. De todas formas la clave podría estar en usar un nombre de usuario que no sea ni el DNI ni el número de teléfono y que para recuperar o resetear la contraseña haya que dar todos esos datos (DNI, tlf y usuario)

Qué fácil es criticar desde la "experiencia" profesional de la universidad.
Saludos "FulMonti".
 #5
Escrito (Editado )  0  0  
Fulgen, tienes razón en casi todo. Pero la mayoría de las compañías utilizan el mismo sistema de recuperación de contraseñas (incluidas las 4 con red) y otras más. Comparto tus inquietudes al 100% y que yo recuerde, solo algunas como simyo, tuenti (y quizá pepephone), utilizan una vía alternativa de recuperación de contraseñas (por correo electrónico). En favor de las grandes diré que al menos, en caso de apuro, ofrecen un servicio de atención al cliente las 24 horas; las virtuales en su defecto deberían ser más eficientes en ese tema si quieren que tengamos un contrato con ellas.
 #6
Escrito   0  0  
quote:
Originalmente escrito por Ludis
Fulgen, tienes razón en casi todo. Pero la mayoría de las compañías utilizan el mismo sistema de recuperación de contraseñas (incluidas las 4 con red) y otras más. Comparto tus inquietudes al 100% y que yo recuerde, solo algunas como simyo, tuenti (y quizá pepephone), utilizan una vía alternativa de recuperación de contraseñas (por correo electrónico). En favor de las grandes diré que al menos, en caso de apuro, ofrecen un servicio de atención al cliente las 24 horas; las virtuales en su defecto deberían ser más eficientes en ese tema si quieren que tengamos un contrato con ellas.
Hola:
Y ahora es responsabilidad de operador que te roben o pierdas el móvil, ¿no?.
Por cierto, tu ¿Quién eres? Xaulo, Ludis o quién.
Un saludo.
 #7
Escrito   0  0  
@Ludis Dices que tengo razón en "casi" todo pero luego dices prácticamente justo lo mismo que yo. ¿Donde está el casi?. Efectivamente como he dicho, Movistar tiene el mismo sistema e incluso Orange y no es un buen sistema. Pero ninguno de los dos tiene implementada la opción de bloquear la línea en caso de robo, sino que tienen atención 24h para ello.

@ingtelval Mas que "experiencia" profesional es experiencia como usuario y un poco de sentido común. No hay que olvidar que hablamos de un servicio al usuario y es este el que debería mandar. Y criticar es fácil, lo difícil es hacerlo bien, y para eso, más que experiencia, como digo, es usar el sentido común. De todas formas lo que he expuesto no son solo opiniones, son hechos que son como son.
 #8
Escrito   0  0  
Aclaración: Orange si permite el bloqueo y desbloqueo de linea por la web, piensa que los prepago actualmente prácticamente están sin SAC.
 #9
Escrito   0  0  
quote:
Originalmente escrito por ingtelval
Hola:
Y ahora es responsabilidad de operador que te roben o pierdas el móvil, ¿no?.
Por cierto, tu ¿Quién eres? Xaulo, Ludis o quién.
Un saludo.

Durante un tiempo usé el nick de xaulo y actualmente uso el de Ludis. ¿Te genera eso algún problema? ¿Acaso ves que intervenga con los dos nicks en el foro?
 #10
Escrito   0  0  
Es verdad, tengo una sim prepago de orange y ahora he visto que se puede bloquear. Supongo que si está bloqueada no se podrá solicitar una nueva contraseña. De todas formas, estos de Orange, otros genios. Resulta que pides la contraseña y te la mandan al movil. Te conectas al area de cliente y te sirve en bandeja los datos personales para que llames a atención al cliente y te hagas pasar fácilmente por el titular.

Como bien dije, mal endémico. Y aquí no consuela el mal de muchos. ;-)
Volver a Eroski móvil