【TechTarget中国原创】问:某家知名的投资管理公司的网站能够让其客户访问账户信息并提出变更请求(销售、购买等等)。访问这家网站之前,用户必须输入用户名、账户号码、社会安全号码和唯一的“用户定义”(是由用户创建的而不是由公司提供的)的密码。我认为使用社会安全号码的要求很不好。在这方面有什么类似“设置用户账户的最佳实践”的专门文献可供参考?
答:我很认可你的观点。使用社会安全号码作为用户标识从来都不值得推荐,但网站采集这一信息可能是出于交易验证过程步骤的正当需求。我希望这家公司能好好权衡这种信息需求和相应的使用风险各自的利弊,作出明智的决策。
针对你的问题,电子边界基金(EFF)有一本很好的在线服务提供商(OSPs)的白皮书,它“提供了用户和因特网间的链接,提供带宽、电子邮件、Web和其它的因特网服务。”提供因特网应用服务的公司都能够从中收获到有效信息。