Quali sono i motivi per avere un login in due passaggi? (Nome utente su una pagina, password sulla seconda.)

8

Quindi recentemente ho riscontrato altri processi di accesso in due passaggi, in cui mi viene richiesto di inserire il mio nome utente in una pagina e la mia password in un secondo. Questo modello non mi piace davvero, in quanto richiede un ulteriore caricamento della pagina solo per accedere.

Ma un paio di persone mi hanno detto che è più sicuro. Come è più sicuro? Ci sono altri motivi per disturbare l'utente con questo?

security  authentication 
Daniel Bingham
fonte
1
Sicurezza e usabilità saranno sempre in contrasto
John Conde
sembra che qualcuno abbia frainteso che cosa significhi effettivamente accedere in 2 passaggi
JamesRyan

Risposte:

4

La vera autenticazione a due fattori introduce un altro livello di sicurezza consentendo agli utenti di accedere con il loro nome utente e password e quindi pronunciare un codice generato sul proprio telefono o tramite un generatore di carte / codici (Barclays Bank ha inviato lettori di carte che generano un utilizzo una volta basato su codice scorrere la carta.

Dividere il nome utente e la password su due pagine diverse non aggiunge nulla in termini di sicurezza aggiuntiva (AFAIK)

Essenza digitale
fonte
Sì, è quello che ho pensato.
Daniel Bingham,
Io odio dover utilizzare il lettore di schede di Barclay solo per il login - tanto che ho chiuso il conto.
ajcw,
Sento il tuo dolore John. È stato peggio quando hanno insistito sul fatto che tu ne avessi usato uno, ma in realtà non me l'avevo mandato. È stato fantastico ...
Digital Essence,
4

L'unico motivo per cui ho visto il login in due passaggi mentre lo descrivi è più sicuro è se il nome utente inserito nella prima pagina è abbinato a una sorta di immagine o frase che l'utente sceglie quando si registra. Questo aiuta il sito a verificare se stesso.

Se qualcuno dovesse copiare il tuo sito per utilizzarlo in una campagna di phishing, non sarebbe in grado di visualizzare l'immagine o la frase. Protegge l'utente quando inserisce la password.

Se non stai recuperando altri elementi di sicurezza dell'account dalla prima alla seconda pagina, non ha molto senso farlo in quel modo.

lovefaithswing
fonte
È vero, ma ciò può essere fatto anche con una singola pagina e un approccio basato sui cookie, come si vede dalla pagina di accesso di Yahoo.
Jacob Hume,
1
L'approccio basato sui cookie non gestisce l'accesso su un altro computer. I siti come quelli bancari richiedono protezione anche se non sono impostati i cookie. È finita uccisione per la maggior parte dei siti però. Ma questo è il ragionamento alla base.
Lovefaithswing
4

L'unico ragionamento che posso trovare riguarda la prevenzione di attacchi automatici.

Laddove il nome utente e la password sono entrambi accettati su una pagina, è relativamente semplice creare uno script automatizzato che martellerà quella pagina con combinazioni di nome utente e password fino a quando qualcosa non passa, chiamato attacco "forza bruta", per ovvie ragioni.

Avere il tuo nome utente inserito in una pagina e la tua password inserita in un'altra pagina renderebbe questo tipo di attacco più difficile, ma non impossibile. Farebbe un buon lavoro nel tenere fuori gli aggressori semplici e ti metterebbe davanti alla maggior parte dei siti.

Anche se non sei tecnicamente più sicuro del tuo vicino, non sei più uno dei frutti più bassi.

Jacob Hume
fonte
2

Questo è un caso strano, ma se il sito principale viene offerto non crittografato (per motivi di prestazioni probabilmente), ma si desidera che gli utenti siano in grado di avviare il processo di accesso da quella pagina, invece di fare clic su un collegamento "Accedi". L'invio del tuo nome utente non crittografato non è un grosso problema, quindi potresti servire la seconda parte della pagina di accesso (il campo della password) su HTTPS.

Penso che probabilmente non ne valga la pena (più lavoro per i programmatori, più lavoro per gli utenti, minuscola riduzione del carico di lavoro del processore), ma alcune persone potrebbero pensare che valga la pena.

Esempio: First National lo fa sulla loro home page.

Brendan Long
fonte
1

Ho trovato solo questa vecchia documentazione a riguardo, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Per farla breve, le banche statunitensi e credo che le società di carte di credito debbano utilizzare l'autenticazione a due fattori per i loro moduli di accesso al sito Web.

Mentre il post discute non risolve davvero il problema, fa solo in modo che i criminali abbiano un cerchio in più per saltare.

Ben Hoffman
fonte
1
La domanda non descrive l'autenticazione a due fattori.
Brendan Long
@Brendan - Il documento è vecchio. Vorrei poter trovare la versione più recente. Ho lavorato per una società web nell'08 / 09 che si occupava dell'elaborazione delle carte di credito e non sono sicuro da dove venisse la regola, ma lo sviluppo ha dovuto creare un'autenticazione a due fattori per conformarsi alle linee guida federali. Vorrei poter trovare la fonte. Se lo faccio, aggiungerò un link ad esso.
Ben Hoffman,
1
Quello che voglio dire è che stai parlando di un'autenticazione a due fattori, ma non è questa la domanda. La domanda riguarda una pagina di accesso in due passaggi che richiede le stesse informazioni del solito (nome utente nella prima pagina, password nella seconda).
Brendan Long
0

Accettare nome utente e password su una pagina separata non rende l'applicazione più sicura in alcun modo. Sono interessato a sapere su quali siti Web hai riscontrato questo?

Gaurav Gupta
fonte
0

La mia banca ha trovato un'ottima ragione per utilizzare l'autenticazione in due passaggi: hanno 3 metodi per autenticare gli utenti che conosco:

  • Crypto card per aziende
  • Carta crittografica per account privati ​​(diversi tipi di carta!)
  • Autenticazione solo password

Usano l'accesso in due passaggi in modo da sapere il tipo di account che hai in modo da poter offrire assistenza durante l'immissione della password. Se è necessario inserire una password, chiedono chiaramente una password. Se devi utilizzare la tua carta crittografica per generare un codice di autenticazione univoco, ti chiedono il codice e forniscono un link di aiuto specifico per il tuo tipo di carta.

Cosmin Prund
fonte
0

Direi che lo rende meno sicuro. Perché puoi quindi sapere che user123 ha un account sul sito e quindi puoi fare una forza bruta su quell'account.

La pratica standard è di non far sapere alle persone se l'account o la password sono errati. "Hai inserito un nome utente o una password errati"

rendendo molto più difficile la forza bruta.

Bruce Aldridge
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.