そのため、最近2段階のログインプロセスが発生しました。1つのページでユーザー名を入力し、2番目のページでパスワードを入力する必要があります。ログインするだけで余分なページの読み込みが必要になるため、私はこのパターンが本当に好きではありません。
しかし、私はそれがより安全であると数人の人々から言われました。より安全な方法は?これでユーザーに不便をかける他の理由はありますか?
Real two factor authentication ユーザーにユーザー名とパスワードでログインしてから、電話またはカード/コードジェネレーターで生成されたコードを発声させることにより、別のレベルのセキュリティを導入します(Barclays Bankは、カードスワイプに基づいて、1回だけ使用するコードを生成します。
ユーザー名とパスワードを2つの異なるページに分割しても、追加のセキュリティに関しては何も追加されません(AFAIK)
あなたがより安全であると説明している2つのステップのログインを見た唯一の理由は、最初のページで入力されたユーザー名が、ユーザーが登録時に選択する何らかの画像またはフレーズと一致する場合です。これは、サイトが自身を検証するのに役立ちます。
誰かがあなたのサイトをコピーしてフィッシングキャンペーンで使用すると、画像やフレーズを表示できなくなります。ユーザーがパスワードを入力するときにユーザーを保護します。
追加のアカウントセキュリティ項目を最初のページから2番目のページにプルアップしていない場合、そのようにするのはあまり意味がありません。
私が思いつく唯一の理由は、自動化された攻撃を防ぐことです。
ユーザー名とパスワードの両方が1つのページで受け入れられる場合、明白な理由で「ブルートフォース」攻撃と呼ばれる、何かが通り抜けるまでユーザー名とパスワードの組み合わせでそのページをハンマーで打つ自動スクリプトを作成するのは比較的簡単です。
ユーザー名をあるページに入力し、パスワードを別のページに入力すると、この種の攻撃はより困難になりますが、不可能ではありません。それは単純な攻撃者を排除するという素晴らしい仕事をし、あなたを大部分のサイトより先に置くでしょう。
あなたは隣人よりも技術的に安全ではありませんが、あなたはもはや控えめな果物の1つではありません。
これは奇妙なケースですが、メインサイトが暗号化されずに提供される場合(おそらくパフォーマンス上の理由)、ユーザーが「ログイン」リンクをクリックする代わりにそのページからログインプロセスを開始できるようにする必要があります。暗号化せずにユーザー名を送信することは大したことではないため、ログインページの2番目の部分(パスワードフィールド)をHTTPS経由で提供できます。
おそらくそれは価値がないと思います(プログラマーの仕事が増え、ユーザーの仕事が増え、プロセッサーの作業負荷がわずかに減少します)が、価値があると考える人もいるかもしれません。
例: First National は、ホームページでこれを行います。
私はそれに関するこの古いドキュメント、 http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html しか見つけることができませんでした。長い話で言えば、米国の銀行とクレジットカード会社は、ウェブサイトのログインフォームに2要素認証を使用する必要があると思います。
投稿で説明されているように、それは実際に問題を解決するものではなく、犯罪者にもう1つのやりがいを持たせるだけです。
別のページでユーザー名とパスワードを受け入れても、アプリケーションの安全性はまったく向上しません。どのウェブサイトでこれに遭遇したのか知りたいですか?
私の銀行は、2段階認証を使用する非常に正当な理由を見つけました。私が知っているユーザー認証の3つの方法があります。
彼らは2段階ログインを使用しているので、彼らはあなたが持っているアカウントの種類を知っているので、パスワードを入力する際に何らかの支援を提供できます。パスワードを入力する必要がある場合は、パスワードを尋ねられます。暗号カードを使用して一意の認証コードを生成する必要がある場合、コードを要求し、カードの種類に固有のヘルプリンクを提供します。
安全性が低下すると思います。これは、user123がサイトにアカウントを持っていることを知ることができ、そのアカウントに対してブルートフォースを実行できるためです。
標準的な方法は、アカウントまたはパスワードが間違っているかどうかを他人に知らせないことです。「間違ったユーザー名またはパスワードを入力しました」
総当たり攻撃をはるかに困難にします。