Quais são os motivos para ter um login em duas etapas? (Nome de usuário em uma página, senha na segunda.)

8

Então, recentemente, encontrei mais processos de login em duas etapas, onde sou obrigado a inserir meu nome de usuário em uma página e minha senha em uma segunda. Eu realmente não gosto desse padrão, pois requer um carregamento extra de página apenas para fazer login.

Mas algumas pessoas me disseram que é mais seguro. Como é mais seguro? Existem outros motivos para incomodar o usuário com isso?

security  authentication 
Daniel Bingham
fonte
11
Segurança e usabilidade sempre estarão em desacordo
John Conde
Parece que alguém não entendeu o que 2 passo de login realmente significa
JamesRyan

Respostas:

4

A autenticação real de dois fatores introduz outro nível de segurança, fazendo com que os usuários efetuem login com seu nome de usuário e senha e digam um código gerado no telefone ou por meio de um gerador de cartão / código (o Barclays Bank enviou leitores de cartão que geram um código de uso único com base em passe o cartão.

Dividir o nome de usuário e a senha em duas páginas diferentes não adiciona nada em termos de segurança adicional (AFAIK)

Digital Essence
fonte
Sim, foi o que eu pensei.
Daniel Bingham
Eu odeio ter que usar leitor de cartão de Barclay apenas para fazer login - tanto que eu fechou a conta.
ajcw
Eu sinto sua dor, John. Foi pior quando eles insistiram que você usasse um, mas na verdade não tinha enviado um para mim. Isso foi ótimo ...
Digital Essence
4

A única razão pela qual eu vi o login em duas etapas como você o descreve é ​​mais seguro é se o nome de usuário digitado na primeira página corresponder a algum tipo de imagem ou frase que o usuário escolher quando se registrar. Isso ajuda o site a se verificar.

Se alguém copiasse seu site para usar em uma campanha de phishing, não seria possível exibir a imagem ou frase. Ele protege o usuário quando ele digita sua senha.

Se você não está puxando itens adicionais de segurança da conta da primeira página para a segunda, não faz muito sentido fazê-lo dessa maneira.

lovefaithswing
fonte
É verdade, mas isso também pode ser feito com uma única página e uma abordagem baseada em cookies, como visto na página de entrada do Yahoo.
Jacob Hume
11
A abordagem baseada em cookies não lida com o login em um computador diferente. Sites como sites bancários desejam proteção, mesmo que você não tenha os cookies definidos. Mas acabou para a maioria dos sites. Mas esse é o raciocínio por trás disso.
lovefaithswing
4

O único raciocínio que posso sugerir envolve a prevenção de ataques automatizados.

Onde o nome de usuário e a senha são aceitos em uma página, é relativamente simples criar um script automatizado que martele essa página com combinações de nome de usuário e senha até que algo aconteça - chamado ataque de "força bruta", por razões óbvias.

Ter seu nome de usuário digitado em uma página e sua senha digitada em outra página tornaria esse tipo de ataque mais difícil, mas não impossível. Seria um bom trabalho impedir a entrada de atacantes simples e colocá-lo à frente da maioria dos sites.

Enquanto você não é tecnicamente mais seguro que o seu vizinho, você não é mais uma das frutas mais fáceis.

Jacob Hume
fonte
2

Esse é um caso estranho, mas se o site principal for exibido sem criptografia (provavelmente por razões de desempenho), mas você deseja que os usuários possam iniciar o processo de login nessa página, em vez de clicar no link "logon". Enviar seu nome de usuário não criptografado não é grande coisa e você pode servir a segunda parte da página de login (o campo de senha) por HTTPS.

Acho que provavelmente não vale a pena (mais trabalho para programadores, mais trabalho para usuários, pequena diminuição minúscula na carga de trabalho do processador), mas algumas pessoas podem pensar que vale a pena.

Exemplo: o First National faz isso em sua página inicial.

Brendan Long
fonte
1

Eu só consegui encontrar essa documentação mais antiga, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Bancos dos EUA nos EUA e acredito que as empresas de cartão de crédito devem usar a autenticação de dois fatores para os formulários de logon do site.

Como o post discute, ele realmente não resolve o problema, apenas faz com que os criminosos tenham mais um bastão para avançar.

Ben Hoffman
fonte
11
A questão não está descrevendo autenticação de dois fatores ..
Brendan longo
@Brendan - O documento é antigo. Eu gostaria de encontrar a versão mais atual. Eu trabalhei para uma empresa da web em 08/09 que processou o cartão de crédito e não tenho certeza de onde a regra veio, mas o desenvolvimento teve que criar autenticação de dois fatores para cumprir uma diretriz federal. Eu gostaria de poder encontrar a fonte. Se eu fizer, adicionarei um link a ele.
Ben Hoffman
11
O que quero dizer é que você está falando sobre autenticação de dois fatores, mas não é sobre isso que a pergunta está sendo feita. A pergunta é sobre uma página de login em duas etapas que solicita as mesmas informações de sempre (nome de usuário na primeira página, senha na segunda).
Brendan Long
0

Aceitar nome de usuário e senha em uma página separada não torna o aplicativo mais seguro, seja de que forma for. Estou interessado em saber em quais sites você encontrou isso?

Gaurav Gupta
fonte
0

Meu banco encontrou um bom motivo para usar a autenticação em duas etapas: eles têm três métodos de autenticação de usuários que eu conheço:

  • Cartão de criptografia para empresas
  • Cartão criptográfico para contas privadas (tipo diferente de cartão!)
  • Autenticação somente por senha

Eles usam o login em duas etapas para saberem o tipo de conta que você possui para oferecer assistência ao digitar a senha. Se você precisar digitar uma senha, eles pedirão claramente uma senha. Se você precisar usar seu cartão criptográfico para gerar um código de autenticação exclusivo, ele solicita o código e fornece um link de ajuda específico para o seu tipo de cartão.

Cosmin Prund
fonte
0

Eu diria que o torna menos seguro. Porque você pode saber que o user123 tem uma conta no site e, em seguida, pode fazer uma força bruta nessa conta.

A prática padrão é nunca permitir que as pessoas saibam se a conta ou senha está incorreta. "Você digitou um nome de usuário ou senha incorretos"

dificultando muito a força bruta.

Bruce Aldridge
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.