¿Cuáles son las razones para tener un inicio de sesión en dos pasos? (Nombre de usuario en una página, contraseña en la segunda).


8

Así que recientemente me he encontrado con más procesos de inicio de sesión en dos pasos, donde debo ingresar mi nombre de usuario en una página y mi contraseña en un segundo. Realmente no me gusta este patrón, ya que requiere una carga de página adicional solo para iniciar sesión.

Pero un par de personas me han dicho que es más seguro. ¿Cómo es más seguro? ¿Hay otras razones para molestar al usuario con esto?


1
La seguridad y la usabilidad siempre estarán en desacuerdo
John Conde

Parece que alguien ha entendido mal lo paso 2 de inicio de sesión en realidad significa
JamesRyan

Respuestas:


4

La autenticación real de dos factores introduce otro nivel de seguridad al hacer que los usuarios inicien sesión con su nombre de usuario y contraseña y luego digan un código generado en su teléfono o mediante un generador de tarjeta / código (Barclays Bank envió lectores de tarjetas que generan un código de uso único basado en su tarjeta deslizar.

Dividir el nombre de usuario y la contraseña en dos páginas diferentes no agrega nada en términos de seguridad adicional (AFAIK)


Sí, eso es lo que yo pensaba.
Daniel Bingham

Yo odio tener que utilizar el lector de tarjetas de Barclay sólo para conectarse - tanto es así que he cerrado abajo de la cuenta.
ajcw

Siento tu dolor, John. Fue peor cuando insistieron en que usaras uno, pero en realidad no me lo habían enviado. Eso fue genial ...
Digital Essence

4

La única razón por la que he visto que el inicio de sesión en dos pasos como lo describe es más seguro es si el nombre de usuario ingresado en la primera página coincide con algún tipo de imagen o frase que el usuario elige cuando se registra. Esto ayuda al sitio a verificarse a sí mismo.

Si alguien copiara su sitio para usarlo en una campaña de phishing, no podría mostrar la imagen o frase. Protege al usuario cuando ingresa su contraseña.

Si no está sacando ningún elemento adicional de seguridad de la cuenta de la primera página a la segunda, entonces no tiene mucho sentido hacerlo de esa manera.


Es cierto, pero esto también se puede hacer con una sola página y un enfoque basado en cookies, como se ve con la página de inicio de sesión de Yahoo.
Jacob Hume

1
El enfoque basado en cookies no maneja el inicio de sesión en una computadora diferente. Los sitios como los sitios bancarios desean protección incluso si no tiene configuradas cookies. Sin embargo, se acabó para la mayoría de los sitios. Pero ese es el razonamiento detrás de esto.
lovefaithswing

4

El único razonamiento que se me ocurre implica la prevención de ataques automáticos.

Cuando el nombre de usuario y la contraseña son aceptados en una página, es relativamente simple crear un script automatizado que martilleará esa página con combinaciones de nombre de usuario y contraseña hasta que algo pase, llamado ataque de "Fuerza bruta", por razones obvias.

Tener su nombre de usuario ingresado en una página y su contraseña ingresada en otra página haría que este tipo de ataque sea más difícil, pero no imposible. Haría un buen trabajo al mantener alejados a los atacantes simples y lo pondría por delante de la mayoría de los sitios.

Aunque técnicamente no eres más seguro que tu vecino, ya no eres una de las frutas más bajas.


2

Este es un caso extraño, pero si el sitio principal se sirve sin cifrar (probablemente por razones de rendimiento), pero desea que los usuarios puedan iniciar el proceso de inicio de sesión desde esa página, en lugar de hacer clic en el enlace "iniciar sesión". Enviar su nombre de usuario sin cifrar no es un gran problema, y ​​luego podría servir la segunda parte de la página de inicio de sesión (el campo de contraseña) a través de HTTPS.

Creo que probablemente no valga la pena (más trabajo para los programadores, más trabajo para los usuarios, una pequeña disminución en la carga de trabajo del procesador), pero algunas personas podrían pensar que vale la pena.

Ejemplo: First National hace esto en su página de inicio.


1

Solo pude encontrar esta documentación anterior al respecto, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Para resumir, los bancos de EE. UU. Y creo que las compañías de tarjetas de crédito están obligadas a utilizar la autenticación de dos factores para los formularios de inicio de sesión de su sitio web.

Como la publicación discute, en realidad no resuelve el problema, solo hace que los delincuentes tengan un aro más para saltar.


1
La pregunta no describe la autenticación de dos factores ..
Brendan Long

@Brendan: el documento es antiguo. Desearía poder encontrar la versión más actual. Trabajé para una empresa web en 08/09 que procesaba tarjetas de crédito y no estoy seguro de dónde vino la regla, pero el desarrollo tuvo que crear una autenticación de dos factores para cumplir con una directriz federal. Desearía poder encontrar la fuente. Si lo hago, agregaré un enlace.
Ben Hoffman

1
Lo que quiero decir es que estás hablando de autenticación de dos factores, pero esa no es la pregunta. La pregunta es sobre una página de inicio de sesión de dos pasos que solicita la misma información que de costumbre (nombre de usuario en la primera página, contraseña en la segunda).
Brendan Long

0

Aceptar el nombre de usuario y la contraseña en una página separada no hace que la aplicación sea más segura de ninguna manera. Estoy interesado en saber en qué sitio (s) se encontró con esto.


0

Mi banco encontró una muy buena razón para usar la autenticación en dos pasos: tienen 3 métodos de autenticación de usuarios que conozco:

  • Cripto tarjeta para empresas
  • Tarjeta criptográfica para cuentas privadas (¡diferentes tipos de tarjeta!)
  • Autenticación solo con contraseña

Utilizan el inicio de sesión en dos pasos para que sepan el tipo de cuenta que tiene para poder ofrecerle ayuda al ingresar la contraseña. Si necesita ingresar una contraseña, claramente le piden una contraseña. Si necesita usar su tarjeta criptográfica para generar un código de autenticación único, solicite el código y le proporcionará un enlace de ayuda específico para su tipo de tarjeta.


0

Yo diría que lo hace menos seguro. Porque entonces puede saber que user123 tiene una cuenta en el sitio, y luego puede hacer una fuerza bruta en esa cuenta.

La práctica estándar es no informar nunca a las personas si la cuenta o la contraseña son incorrectas. "Usted ingresó un nombre de usuario o contraseña incorrectos"

haciendo mucho más difícil la fuerza bruta.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.