当存款和从基金中提取资金时，认证会有什么不同？

Question

我必须为用于管理投资组合的金融服务应用程序开发一个身份验证计划。我必须为这两个功能开发使用场景(将资金存入基金并退出)。使用方案有何不同？

Answer 1

与大多数安全操作一样，身份验证应该与风险相对应。

考虑存款-错误(可能是欺诈性的)存款带来的风险是什么？从严格的财务角度来看，其影响仅限于退还定金。(在一些法律情况下，它可能更大)。

考虑一下退出--错误退出带来的风险是什么？这至少是金额的两倍-你有一个真诚的义务偿还帐户持有人的钱托付给你，加上你失去了提取的金额。对账户持有人、错误受益人和公众/其他账户持有人来说，你的声誉都有次要风险。还可能产生法律/监管方面的后果。

认证有何不同？显然，存款认证处于较低的保证水平。撤回交易可能需要更高的保证认证和授权，可能应该限制在一小部分预先商定的目的地，并且应该有更严格的审计跟踪。

如何提高交易的保证水平？幸运的是，有许多资源将在这方面提供帮助。

Answer 2

就我个人而言-我觉得两种情况都不一样。把它想象成一个普通的储蓄罐，把钱放进储蓄罐很容易，拿出来就更难了。

假设攻击者想要“偷钱”，那么你会更担心提款的时候。当存款时，我会假设安全性在另一端的认证/授权中。如果如您在评论中提到的，资金从帐户中提取，您可能需要在账户上多加检查(“攻击”是恶意用户可以通过将资金投资于长期计划来“阻止”他人的资金，从而影响客户的流动性)。

通常，检查以确保预期的用户希望执行事务是好的。许多银行使用硬件令牌来验证PIN代码和事务数量。

Answer 3

但我不完全理解你的问题，但我认为你的意思是，如果你需要两种不同的认证。

嗯，尝试使用一些银行使用的东西(至少在荷兰)，你需要授权自己登录到网络环境中，然后对你所做的每一件事(存款、寄钱等)使用一种两步的认证方法。

在做一个项目时，看看别人的帮助，尝试一下这个想法，即登录身份验证和操作身份验证:3