J'ai donc récemment rencontré plus de processus de connexion en deux étapes, où je dois entrer mon nom d'utilisateur sur une page et mon mot de passe sur une seconde. Je n'aime vraiment pas ce modèle, car il nécessite un chargement de page supplémentaire juste pour se connecter.
Mais deux ou trois personnes m'ont dit que c'était plus sûr. Comment est-il plus sûr? Y a-t-il d'autres raisons de gêner l'utilisateur avec cela?
security
authentication
Daniel Bingham
la source
la source
Réponses:
La véritable authentification à deux facteurs introduit un autre niveau de sécurité en amenant les utilisateurs à se connecter avec leur nom d'utilisateur et leur mot de passe, puis à dire un code généré sur leur téléphone ou via un générateur de carte / code (Barclays Bank a envoyé des lecteurs de carte qui génèrent un code à usage unique basé sur glisser votre carte.
Le partage du nom d'utilisateur et du mot de passe sur deux pages différentes n'ajoute rien en termes de sécurité supplémentaire (AFAIK)
la source
La seule raison pour laquelle j'ai vu la connexion en deux étapes comme vous la décrivez est plus sécurisée, c'est si le nom d'utilisateur entré sur la première page correspond à une sorte d'image ou de phrase que l'utilisateur choisit lors de son inscription. Cela aide le site à se vérifier.
Si quelqu'un copiait votre site pour l'utiliser dans une campagne de phishing, il ne serait pas en mesure d'afficher l'image ou la phrase. Il protège l'utilisateur lorsqu'il saisit son mot de passe.
Si vous ne récupérez aucun élément de sécurité de compte supplémentaire de la première page à la seconde, il est inutile de procéder de cette façon.
la source
Le seul raisonnement que je peux proposer consiste à empêcher les attaques automatisées.
Lorsque le nom d'utilisateur et le mot de passe sont tous deux acceptés sur une seule page, il est relativement simple de créer un script automatisé qui martèlera cette page avec des combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce que quelque chose passe - appelé une attaque "Brute force", pour des raisons évidentes.
La saisie de votre nom d'utilisateur sur une page et de votre mot de passe sur une autre page rendrait ce type d'attaque plus difficile, mais pas impossible. Cela ferait un bon travail pour empêcher les attaquants simples et vous placer en tête de la majorité des sites.
Bien que vous ne soyez pas techniquement plus sûr que votre voisin, vous n'êtes plus l'un des fruits les plus bas.
la source
C'est une sorte de cas étrange, mais si le site principal est servi non chiffré (pour des raisons de performances probablement), mais vous voulez que les utilisateurs puissent démarrer le processus de connexion à partir de cette page, au lieu de cliquer sur un lien "se connecter". L'envoi de votre nom d'utilisateur non chiffré n'est pas un gros problème, et vous pouvez ensuite diffuser la deuxième partie de la page de connexion (le champ du mot de passe) sur HTTPS.
Je pense que cela n'en vaut probablement pas la peine (plus de travail pour les programmeurs, plus de travail pour les utilisateurs, minuscule diminution minuscule de la charge de travail du processeur), mais certaines personnes pourraient penser que cela en vaut la peine.
Exemple: First National le fait sur sa page d'accueil.
la source
Je n'ai pu trouver cette ancienne documentation à ce sujet, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Pour faire court, les banques américaines et je crois que les sociétés de cartes de crédit sont tenues d'utiliser l'authentification à deux facteurs pour les formulaires de connexion à leur site Web.
Comme le poste en parle, cela ne résout pas vraiment le problème, cela donne simplement aux criminels un cerceau de plus à traverser.
la source
Accepter un nom d'utilisateur et un mot de passe sur une page séparée ne rend pas l'application plus sûre que ce soit. Je voudrais savoir sur quel (s) site (s) Web avez-vous rencontré cela?
la source
Ma banque a trouvé une très bonne raison d'utiliser l'authentification en deux étapes: ils ont 3 méthodes d'authentification des utilisateurs que je connais:
Ils utilisent une connexion en deux étapes afin de connaître le type de compte que vous avez afin de pouvoir vous aider lors de la saisie du mot de passe. Si vous avez besoin d'entrer un mot de passe, ils demandent clairement un mot de passe. Si vous devez utiliser votre carte cryptographique pour générer un code d'authentification unique, ils demandent le code et fournissent un lien d'aide spécifique à votre type de carte.
la source
Je dirais que cela le rend moins sûr. Parce que vous pouvez alors savoir que user123 possède un compte sur le site, et alors vous pouvez faire une force brute sur ce compte.
La pratique courante est de ne jamais faire savoir aux gens si le compte ou le mot de passe est incorrect .. "vous avez entré un nom d'utilisateur ou un mot de passe incorrect"
ce qui rend beaucoup plus difficile la force brute.
la source