ボタンプッシュによるログインは、通常のフォームログインよりも安全ですか?
私は最近フランスに引っ越し、新しい携帯電話会社を探す必要があり、私は Free Mobile に落ち着きました。ログインページには、「識別情報」(ユーザー名)のボタンプッシュログインと、パスワードの通常のフォームフィールドがあります。
少しデバッグすると、ユーザー名の非表示のフォームフィールドは、JavaScriptによって切り替えられる実際のボタンのインデックスの0〜10の配列のように見えます。したがって、ボタンの数値の(ランダムな)順序に関係なく、button indexは入力に記録されるものです。実際のindex-to-button-order配列はサーバーに格納されていると思います(JavaScriptにある場合を除き、私はそれほど良くありません。その場合、あいまいなためセキュリティがすごいですか?)。
要するに、このログイン方法は実際に安全ですか?私にとって、それはそうではないと思われます、そしてそれはsoないことを考えると迷惑ですパスワードマネージャーと連携してください。
特定のWebサイトがこの種のログインを実装しているのはなぜだろうと思います。これは、私の生活を少し難しくするだけです(正直なところ、ユーザー名のコピーをコンピューターに保存しているため、安全性が低下します)。実際には、通常のフォームベースのログインと同じ安全性ですか、それとも安全性が低くなりますか?それはなぜですか?
あなたはほとんどあなた自身の質問に答えました、私はそれが実際に安全でない理由についていくつかの根拠を提供しようとするかもしれません通常のログインフォームよりも。
要するに、このログイン方法は実際に安全ですか?私にとってはそうではないようで、パスワードマネージャーで動作しないので、非常に煩わしいです。
Security.stackexchangeで定式化されたルールがあります。
ユーザビリティを犠牲にしてセキュリティを確保すると、セキュリティが犠牲になります。
こちら を参照してください。
呼ばれる:AviDのユーザビリティのルール、または私がそれをどのように呼ぶか-使用不能によるセキュリティ。基本的には、セキュリティ対策のユーザビリティを低下させるとすぐに、セキュリティ自体が低下するということです。ソフトウェアの世界では、このような「発明」が数多く見られます。
- パスワード/ユーザー名フィールドでの「貼り付け」は許可されていません-私はツイートでそれをからかっています: https://Twitter.com/m1ndas/status/789984433973628928 また、トロイハンツのブログ投稿を読むことができますそれ: https://www.troyhunt.com/the-Cobra-effect-that-is-disabling/
- パスワードの長さのクレイジーな制限。
- 特殊記号の厳格な要件とパスワードの長さの同時無視(長い覚えやすいパスワードを使用しないインセンティブ)。
これは、「自動化されたシステムがサイトにログインすることを望まないため、人間(または十分にプログラムされたボット)のみが侵入できるようにBSB(Big Stupid Barrier)を考案した」という典型的なケースのようです。他の人が指摘したように、これは非常に不明瞭で使用できなくて煩わしいことにより、想定されるセキュリティの適切なセキュリティを犠牲にします。パスワードマネージャーに関しては、BSBが実際にある程度の仕事をしているため、適切なデータを入れすぎて失敗します(自動化の防止記入から)しかし、あなたの直感は正しいです、それは実際にはあまり安全ではありません。
バックエンドのセキュリティがフロントエンドにBSBを配置していることがどれほどひどいのか不思議に思います。
セキュリティの観点から、私が見ることができる唯一の潜在的な利点は、キーロガーからの保護です。しかし、これは通常公開情報と見なされるユーザー名用であるため、これは実際には適用されないと主張します。
個人的にサイトを見たのですが、その意味がよくわかりません。
ページが更新されるたびに数字ボタンが異なる順序で表示されることで、Webフォームをロボットから保護するCaptchaの方法を思い出させます。
他の回答で述べたように、これはおそらく、フォームの下に「クラシック」なキャプチャがある方がスマートに見えるユーザーの快適性のためです。