Seguridad diseñada por idiotas (profundos)

Hace unos meses, después de la contratación de un servicio de «privacidad» para mi dominio personal (ya hablé de ello aquí), tuve un pequeño problema con el usuario y clave que me había sido asignado para la gestión del servicio, que imposibilitaba cualquier tipo de gestión, valga la redundancia. Después de obtener varias respuestas cíclicas y estériles, que sin duda estaban sacadas de algún procedimiento diseñado por idiotas (profundos), la empresa en cuestión me pide que mande un fax con mi fotografía sacada de algún documento oficial. Así que ante la falta de alternativas, ni corto ni perezoso, les mando una fotografía en blanco y negro, a lo que me contestan con lo siguiente:

Hello,

We are not able to distinguish the identity of the person pictured on the photo id we received. Our legal department requires a clear, readable copy of government-issued photo identification in order for us to make any changes to an account.

[…]

Les adelantaré que la historia concluyó felizmente después de mandarles un email con mi fotografía escaneada, pero, ¿no les parece un absurdo que el método de autenticación se base en el envío de una fotografía de alguien cuya identidad la empresa no conoce, y de un «DNI» cuyo formato la empresa desconoce? En otras palabras, ¿qué me impedía mandar una foto de cualquiera de ustedes y decir que era yo, teniendo en cuenta que ellos no saben cuál es mi cara? ¿Y un «DNI» hecho por mí? ¿Sirve de algo? ¿Tienen algo con lo que contrastar?

En la misma línea, Bruce Schneier reportaba el otro día la siguiente historia de Worse Than Failure, también del mismo tipo de seguridad diseñada por idiotas (profundos):

John: Hola, llamaba para ver porqué la petición de transferencia número 48931258 del dominio algundominio.com ha sido rechazada.
ISP: Oh, fue rechazada porque la petición no fue enviada en una hoja con membrete de la compañía.
John: Oh… ya… pero… uh, sólo para aclarar las cosas, puede definir qué exactamente entiende usted por «hoja con membrete»?
ISP: Bien, ya sabe, una de estas que tiene el logo de la compañia, un número de teléfono, la dirección web… cosas de esas. Quiero decir, ¡su fax parece como si cualquier pudiese haberlo mandado!
John: ¿Así que usted sabe cómo es esa hoja en mi compañía?
ISP: Ehhh… no. No específicamente. Pero, bueno, la reconoceríamos si la viésemos.
John: ¿Y qué pasa si no tenemos hoja con membrete? ¿Y si acabamos de empezar? ¿Y si estamos rediseñando nuestro logo?
ISP: Bien, en ese caso tendrá que hablar con atención al–
John (pinchando y tecleando): Podría simplemente coger alguna plantilla del MS Word que pareciese profesional, teclear mi petición y volverla a enviar, ¿no?
ISP: Mire, nuestra política–
John: Oh, déjelo, no se preocupe, la acabo de volver a enviar en una hoja con membrete de la compañía.

Les dejo en este caso que saquen sus propias conclusiones.