En supposant que vous les appeliez sur un numéro publié, je dirais que cela ressemble à un système de réponse vocale (IVR) interactif, ce qui est assez courant dans le monde bancaire.
Le concept est que le système prend vos informations d'authentification avant de vous transmettre à un agent du centre de contact. L'avantage de ceci du point de vue de la sécurité est que l'agent du centre d'appels n'a pas à vous demander de vous authentifier avant de discuter de votre compte.
Si correctement mis en œuvre, cela ne devrait pas être plus dangereux que en tapant votre mot de passe sur un site Web. Il existe un système automatisé traitant les données vocales et il devrait les stocker / enregistrer correctement.
Bien sûr, comme vous le faites remarquer, il y a un risque de mise sur écoute téléphonique, mais si vous supposez que votre ligne téléphonique est sur écoute , toute forme de banque par téléphone n'est pas sécurisée car ils doivent vous authentifier d'une manière ou d'une autre pour pouvoir discuter de votre compte avec vous.
MODIFIER: Pour ajouter des détails, plutôt que de les laisser éparpillés autour de commentaires qui pourraient être effacés.
Fondamentalement, les banques doivent vous authentifier d'une manière ou d'une autre, quel que soit le canal (par exemple, Web, téléphone, succursale) que vous utilisez pour les contacter, et il y a des compromis à prendre en compte.
D'une part, avoir des identifiants dédiés par canal est utile dans la mesure où cela réduit le risque de compromission et évite de brouiller le message "ne dites pas aux gens votre mot de passe Web", mais cela laisse utilisateurs avec plus d'informations d'identification à gérer et selon toute vraisemblance, beaucoup de réinitialisations de mot de passe si les utilisateurs n'utilisent capacités que les réinitialisations fréquentes attirent)
Ainsi, l'option qui apparaît, à partir des informations fournies, qui est utilisée ici est de combiner les informations d'identification pour les canaux Web et téléphonique, et d'utiliser un système IVR automatisé sur le canal téléphonique pour éviter que les informations d'identification ne soient fournies aux agents du centre de contact. . L'avantage ici est un ensemble unique de crédits, donc l'utilisateur ne les oubliera pas, et l'inconvénient est le scénario que nous voyons où la messagerie bancaire "ne donnez pas aux gens votre mot de passe" conduit à des problèmes d'utilisation de ce système.
En termes de sécurité du système IVR, c'est essentiellement comme tout autre système qui traite des données. Il doit être sécurisé de manière appropriée afin que les informations d'identification de l'utilisateur ne soient pas exposées, pas différentes de celles du canal Web.
De toute évidence, un système comme le matériel (pas SMS) 2FA pourrait bien fonctionner dans ce scénario car les codes numériques sont facilement transmis aux systèmes IVR, mais cela a ses propres compromis en termes de coût et d'expérience utilisateur.