Quelles sont les raisons d'avoir une connexion en deux étapes? (Nom d'utilisateur sur une page, mot de passe sur la seconde.)

8

J'ai donc récemment rencontré plus de processus de connexion en deux étapes, où je dois entrer mon nom d'utilisateur sur une page et mon mot de passe sur une seconde. Je n'aime vraiment pas ce modèle, car il nécessite un chargement de page supplémentaire juste pour se connecter.

Mais deux ou trois personnes m'ont dit que c'était plus sûr. Comment est-il plus sûr? Y a-t-il d'autres raisons de gêner l'utilisateur avec cela?

security authentication Daniel Bingham
la source
1
La sécurité et la convivialité seront toujours en désaccord
John Conde
sonne comme si quelqu'un avait mal compris ce que la connexion en 2 étapes signifie réellement
JamesRyan

Réponses:

4

La véritable authentification à deux facteurs introduit un autre niveau de sécurité en amenant les utilisateurs à se connecter avec leur nom d'utilisateur et leur mot de passe, puis à dire un code généré sur leur téléphone ou via un générateur de carte / code (Barclays Bank a envoyé des lecteurs de carte qui génèrent un code à usage unique basé sur glisser votre carte.

Le partage du nom d'utilisateur et du mot de passe sur deux pages différentes n'ajoute rien en termes de sécurité supplémentaire (AFAIK)

Essence numérique
la source
Ouais, c'est ce que je pensais.
Daniel Bingham
Je déteste avoir à utiliser le lecteur de cartes de Barclay juste pour me connecter - à tel point que j'ai fermé le compte.
ajcw
Je ressens ta douleur John. C'était pire quand ils ont insisté pour que vous en utilisiez un, mais ils ne m'en ont pas envoyé un. C'était génial ...
Digital Essence
4

La seule raison pour laquelle j'ai vu la connexion en deux étapes comme vous la décrivez est plus sécurisée, c'est si le nom d'utilisateur entré sur la première page correspond à une sorte d'image ou de phrase que l'utilisateur choisit lors de son inscription. Cela aide le site à se vérifier.

Si quelqu'un copiait votre site pour l'utiliser dans une campagne de phishing, il ne serait pas en mesure d'afficher l'image ou la phrase. Il protège l'utilisateur lorsqu'il saisit son mot de passe.

Si vous ne récupérez aucun élément de sécurité de compte supplémentaire de la première page à la seconde, il est inutile de procéder de cette façon.

lovefaithswing
la source
Certes, mais cela peut également être fait avec une seule page et une approche basée sur les cookies, comme on le voit avec la page de connexion Yahoo.
Jacob Hume
1
L'approche basée sur les cookies ne gère pas la connexion sur un autre ordinateur. Les sites tels que les sites bancaires veulent une protection même si vous n'avez pas défini de cookies. C'est plus de tuer pour la plupart des sites. Mais c'est le raisonnement derrière cela.
lovefaithswing
4

Le seul raisonnement que je peux proposer consiste à empêcher les attaques automatisées.

Lorsque le nom d'utilisateur et le mot de passe sont tous deux acceptés sur une seule page, il est relativement simple de créer un script automatisé qui martèlera cette page avec des combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce que quelque chose passe - appelé une attaque "Brute force", pour des raisons évidentes.

La saisie de votre nom d'utilisateur sur une page et de votre mot de passe sur une autre page rendrait ce type d'attaque plus difficile, mais pas impossible. Cela ferait un bon travail pour empêcher les attaquants simples et vous placer en tête de la majorité des sites.

Bien que vous ne soyez pas techniquement plus sûr que votre voisin, vous n'êtes plus l'un des fruits les plus bas.

Jacob Hume
la source
2

C'est une sorte de cas étrange, mais si le site principal est servi non chiffré (pour des raisons de performances probablement), mais vous voulez que les utilisateurs puissent démarrer le processus de connexion à partir de cette page, au lieu de cliquer sur un lien "se connecter". L'envoi de votre nom d'utilisateur non chiffré n'est pas un gros problème, et vous pouvez ensuite diffuser la deuxième partie de la page de connexion (le champ du mot de passe) sur HTTPS.

Je pense que cela n'en vaut probablement pas la peine (plus de travail pour les programmeurs, plus de travail pour les utilisateurs, minuscule diminution minuscule de la charge de travail du processeur), mais certaines personnes pourraient penser que cela en vaut la peine.

Exemple: First National le fait sur sa page d'accueil.

Brendan Long
la source
1

Je n'ai pu trouver cette ancienne documentation à ce sujet, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Pour faire court, les banques américaines et je crois que les sociétés de cartes de crédit sont tenues d'utiliser l'authentification à deux facteurs pour les formulaires de connexion à leur site Web.

Comme le poste en parle, cela ne résout pas vraiment le problème, cela donne simplement aux criminels un cerceau de plus à traverser.

Ben Hoffman
la source
1
La question ne décrit pas l'authentification à deux facteurs ..
Brendan Long
@Brendan - Le document est ancien. J'aimerais pouvoir trouver la version la plus récente. J'ai travaillé pour une société Web en 08/09 qui effectuait le traitement des cartes de crédit et je ne sais pas d'où vient la règle, mais develop a dû créer une authentification à deux facteurs afin de se conformer à une directive fédérale. J'aimerais pouvoir trouver la source. Si je le fais, j'y ajouterai un lien.
Ben Hoffman
1
Ce que je veux dire, c'est que vous parlez d'authentification à deux facteurs, mais ce n'est pas de cela qu'il s'agit. La question concerne une page de connexion en deux étapes qui demande les mêmes informations que d'habitude (nom d'utilisateur sur la première page, mot de passe sur la seconde).
Brendan Long
0

Accepter un nom d'utilisateur et un mot de passe sur une page séparée ne rend pas l'application plus sûre que ce soit. Je voudrais savoir sur quel (s) site (s) Web avez-vous rencontré cela?

Gaurav Gupta
la source
0

Ma banque a trouvé une très bonne raison d'utiliser l'authentification en deux étapes: ils ont 3 méthodes d'authentification des utilisateurs que je connais:

  • Carte crypto pour les entreprises
  • Carte crypto pour les comptes privés (différents types de cartes!)
  • Authentification par mot de passe uniquement

Ils utilisent une connexion en deux étapes afin de connaître le type de compte que vous avez afin de pouvoir vous aider lors de la saisie du mot de passe. Si vous avez besoin d'entrer un mot de passe, ils demandent clairement un mot de passe. Si vous devez utiliser votre carte cryptographique pour générer un code d'authentification unique, ils demandent le code et fournissent un lien d'aide spécifique à votre type de carte.

Cosmin Prund
la source
0

Je dirais que cela le rend moins sûr. Parce que vous pouvez alors savoir que user123 possède un compte sur le site, et alors vous pouvez faire une force brute sur ce compte.

La pratique courante est de ne jamais faire savoir aux gens si le compte ou le mot de passe est incorrect .. "vous avez entré un nom d'utilisateur ou un mot de passe incorrect"

ce qui rend beaucoup plus difficile la force brute.

Bruce Aldridge
la source