Каковы причины для двухэтапного входа? (Имя пользователя на одной странице, пароль на второй.)

8

Поэтому недавно я столкнулся с более чем двумя процессами входа в систему, где мне необходимо ввести свое имя пользователя на одной странице и пароль на второй. Мне действительно не нравится этот шаблон, так как он требует дополнительной загрузки страницы только для входа в систему.

Но мне сказали несколько человек, что это более безопасно. Как это более безопасно? Есть ли другие причины для неудобства пользователя с этим?

security authentication Дэниел Бингхэм
источник
1
Безопасность и удобство использования всегда будут в ссоре
Джон Конде
Похоже, что кто-то неправильно понял, что на самом деле означает двухэтапный вход
JamesRyan

Ответы:

4

Настоящая двухфакторная аутентификация обеспечивает еще один уровень безопасности, позволяя пользователям входить в систему со своим именем пользователя и паролем, а затем произносить код, сгенерированный на их телефоне или с помощью генератора карт / кодов (Barclays Bank разослал устройства считывания карт, которые генерируют однократный код на основе Вашу карточку проведите.

Разделение имени пользователя и пароля на две разные страницы ничего не добавляет в плане дополнительной безопасности (AFAIK)

Цифровая сущность
источник
Да, я так и думал.
Дэниел Бингхэм,
Я ненавижу использовать кард-ридер Barclay только для входа в систему - настолько, что я закрыл счет.
ajcw
Я чувствую твою боль, Джон. Хуже было, когда они настаивали на том, чтобы вы использовали один, но на самом деле не отправили его мне. Это было здорово ...
Digital Essence,
4

Единственная причина, по которой я видел двухэтапный вход в систему, когда вы описываете его как более безопасный, заключается в том, что имя пользователя, введенное на первой странице, соответствует какому-либо изображению или фразе, которые пользователь выбирает при регистрации. Это помогает сайту проверить себя.

Если кто-то скопирует ваш сайт для использования в фишинговой кампании, он не сможет отобразить изображение или фразу. Он защищает пользователя, когда он вводит свой пароль.

Если вы не поднимаете какие-либо дополнительные элементы безопасности учетной записи с первой страницы на вторую, то нет особого смысла делать это таким образом.

lovefaithswing
источник
Да, но это также можно сделать с помощью одной страницы и подхода на основе файлов cookie, как видно на странице входа в Yahoo.
Джейкоб Хьюм
1
Подход на основе файлов cookie не обрабатывает вход в систему на другом компьютере. Такие сайты, как банковские сайты, нуждаются в защите, даже если у вас не установлены файлы cookie. Хотя для большинства сайтов это слишком. Но это причина этого.
lovefaithswing
4

Единственное, что я могу придумать, - это предотвращение автоматических атак.

В тех случаях, когда имя пользователя и пароль принимаются на одной странице, относительно просто создать автоматизированный сценарий, который будет обрабатывать эту страницу комбинациями имени пользователя и пароля до тех пор, пока что-то не пройдет - по понятным причинам - атака "грубой силы".

Если ваше имя пользователя будет введено на одной странице, а ваш пароль будет введен на другой странице, это сделает такую ​​атаку более трудной, но не невозможной. Это сделало бы хорошую работу по предотвращению простых злоумышленников и поставило бы вас впереди большинства сайтов.

Хотя вы технически не более безопасны, чем ваш сосед, вы больше не один из низко висящих фруктов.

Джейкоб Хьюм
источник
2

Это довольно странный случай, но если основной сайт обслуживается в незашифрованном виде (возможно, по соображениям производительности), но вы хотите, чтобы пользователи могли запускать процесс входа в систему с этой страницы вместо нажатия на ссылку «войти». Отправка вашего имени пользователя в незашифрованном виде - это не проблема, и тогда вы сможете обслуживать вторую часть страницы входа в систему (поле пароля) по протоколу HTTPS.

Я думаю, что это, вероятно, того не стоит (больше работы для программистов, больше работы для пользователей, незначительное снижение нагрузки на процессор), но некоторые люди могут подумать, что это стоит.

Пример: First National делает это на своей домашней странице.

Брендан Лонг
источник
1

Я мог только найти эту более старую документацию об этом, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Короче говоря, американские банки и я полагаю, что компании, использующие кредитные карты, должны использовать двухфакторную аутентификацию для форм входа на веб-сайте.

Поскольку сообщение обсуждает, это действительно не решает проблему, это только заставляет преступников иметь еще один обруч, чтобы перепрыгнуть.

Бен Хоффман
источник
1
Вопрос не описывает двухфакторную аутентификацию ..
Брендан Лонг,
@ Брендан - документ старый. Я хотел бы найти самую последнюю версию. Я работал в веб-компании в 08/09, которая занималась обработкой кредитных карт, и я не уверен, откуда появилось это правило, но разработчикам пришлось создать двухфакторную аутентификацию, чтобы соответствовать федеральным правилам. Я хотел бы найти источник. Если я это сделаю, я добавлю ссылку на него.
Бен Хоффман
1
Я имею в виду, что вы говорите о двухфакторной аутентификации, но вопрос не в этом. Вопрос о двухэтапной странице входа, которая запрашивает ту же информацию, что и обычно (имя пользователя на первой странице, пароль на второй).
Брендан Лонг
0

Принятие имени пользователя и пароля на отдельной странице не делает приложение более безопасным. Мне интересно узнать, на каких веб-сайтах вы сталкивались с этим?

Гаурав Гупта
источник
0

Мой банк нашел очень хорошую причину использовать двухэтапную аутентификацию: у него есть 3 способа аутентификации пользователей, о которых я знаю:

  • Криптокарта для компаний
  • Криптокарта для частных аккаунтов (разные виды карт!)
  • Аутентификация только по паролю

Они используют двухэтапную регистрацию, поэтому они знают тип вашей учетной записи, поэтому они могут предложить некоторую помощь при вводе пароля. Если вам нужно ввести пароль, они четко попросят пароль. Если вам нужно использовать свою криптокарту для генерации уникального кода аутентификации, они попросят код и предоставят ссылку справки, относящуюся к вашей карте.

Космин Прунд
источник
0

Я бы сказал, что это делает его менее безопасным. Потому что тогда вы можете знать, что у user123 есть учетная запись на сайте, а затем вы можете использовать грубую силу для этой учетной записи.

Стандартная практика заключается в том, чтобы никогда не сообщать людям, если учетная запись или пароль неверны .. «Вы ввели неверное имя пользователя или пароль»

сделать грубую силу намного труднее.

Брюс Олдридж
источник