Was sind die Gründe für eine zweistufige Anmeldung? (Benutzername auf einer Seite, Passwort auf der zweiten.)

8

Daher habe ich kürzlich mehr zweistufige Anmeldevorgänge erlebt, bei denen ich meinen Benutzernamen auf einer Seite und mein Passwort auf einer zweiten Seite eingeben muss. Ich mag dieses Muster wirklich nicht, da es ein zusätzliches Laden der Seite erfordert, nur um sich anzumelden.

Aber mir wurde von ein paar Leuten gesagt, dass es sicherer ist. Wie ist es sicherer? Gibt es andere Gründe, den Benutzer damit zu belästigen?

Daniel Bingham
quelle
1
Sicherheit und Benutzerfreundlichkeit stehen immer im Widerspruch
John Conde
klingt wie jemand falsch verstanden hat, was 2-Schritt-Login eigentlich bedeutet
JamesRyan

Antworten:

4

Die echte Zwei-Faktor-Authentifizierung bietet eine weitere Sicherheitsstufe, indem Benutzer dazu gebracht werden, sich mit ihrem Benutzernamen und Passwort anzumelden und dann einen Code zu sagen, der auf ihrem Telefon oder über einen Karten- / Codegenerator generiert wurde (Barclays Bank hat Kartenleser gesendet, die einen einmal verwendeten Code basierend auf generieren Ihre Karte wischen.

Das Aufteilen des Benutzernamens und des Passworts auf zwei verschiedene Seiten bringt keine zusätzliche Sicherheit (AFAIK).

Digitale Essenz
quelle
Ja das ist, was ich dachte.
Daniel Bingham
Ich hasse es, Barclays Kartenleser nur zum Anmelden verwenden zu müssen - so sehr, dass ich das Konto geschlossen habe.
Ajcw
Ich fühle deinen Schmerz, John. Es war schlimmer, als sie darauf bestanden, dass Sie einen verwenden, mir aber keinen geschickt hatten. Das war großartig ...
Digital Essence
4

Der einzige Grund, warum ich gesehen habe, dass die zweistufige Anmeldung, wie Sie sie beschreiben, sicherer ist, besteht darin, dass der auf der ersten Seite eingegebene Benutzername mit einem Bild oder einer Phrase übereinstimmt, die der Benutzer bei der Registrierung auswählt. Dies hilft der Site, sich selbst zu verifizieren.

Wenn jemand Ihre Website zur Verwendung in einer Phishing-Kampagne kopieren würde, könnte er das Bild oder die Phrase nicht anzeigen. Es schützt den Benutzer, wenn er sein Passwort eingibt.

Wenn Sie keine zusätzlichen Kontosicherheitselemente von der ersten zur zweiten Seite aufrufen, ist es nicht sinnvoll, dies auf diese Weise zu tun.

Liebesschwarm
quelle
Das stimmt, aber dies kann auch mit einer einzelnen Seite und einem Cookie-basierten Ansatz erfolgen, wie auf der Yahoo-Anmeldeseite zu sehen ist.
Jacob Hume
1
Der Cookie-basierte Ansatz behandelt die Anmeldung auf einem anderen Computer nicht. Websites wie Bank-Websites möchten auch dann geschützt werden, wenn keine Cookies gesetzt sind. Für die meisten Websites ist es jedoch vorbei. Aber das ist der Grund dafür.
Lovefaithswing
4

Die einzige Argumentation, die ich finden kann, ist die Verhinderung automatisierter Angriffe.

Wenn sowohl der Benutzername als auch das Passwort auf einer Seite akzeptiert werden, ist es relativ einfach, ein automatisiertes Skript zu erstellen, das diese Seite mit Kombinationen aus Benutzername und Passwort hämmert, bis etwas durchkommt - aus offensichtlichen Gründen als "Brute Force" -Angriff bezeichnet.

Wenn Sie Ihren Benutzernamen auf einer Seite und Ihr Passwort auf einer anderen Seite eingeben, wird diese Art von Angriff schwieriger, aber nicht unmöglich. Es würde einen guten Job machen, einfache Angreifer fernzuhalten und Sie vor die meisten Websites zu stellen.

Sie sind zwar technisch nicht sicherer als Ihr Nachbar, gehören aber nicht mehr zu den niedrig hängenden Früchten.

Jacob Hume
quelle
2

Dies ist ein seltsamer Fall, aber wenn die Hauptwebsite unverschlüsselt bereitgestellt wird (wahrscheinlich aus Leistungsgründen), möchten Sie jedoch, dass Benutzer den Anmeldevorgang von dieser Seite aus starten können, anstatt auf einen "Anmelden" -Link zu klicken. Das unverschlüsselte Senden Ihres Benutzernamens ist keine große Sache, und dann können Sie den zweiten Teil der Anmeldeseite (das Kennwortfeld) über HTTPS bereitstellen.

Ich denke, es lohnt sich wahrscheinlich nicht (mehr Arbeit für Programmierer, mehr Arbeit für Benutzer, winziger Rückgang der Prozessorarbeitslast), aber einige Leute denken vielleicht, dass es sich lohnt.

Beispiel: First National tut dies auf ihrer Homepage.

Brendan Long
quelle
1

Ich konnte nur diese ältere Dokumentation darüber finden, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Lange Rede, kurzer Sinn US-Banken und ich glauben, dass Kreditkartenunternehmen eine Zwei-Faktor-Authentifizierung für ihre Website-Anmeldeformulare verwenden müssen.

Wie der Beitrag bespricht, löst es das Problem nicht wirklich, sondern lässt Kriminelle nur noch einen Reifen haben, durch den sie springen können.

Ben Hoffman
quelle
1
Die Frage beschreibt nicht die Zwei-Faktor-Authentifizierung.
Brendan Long
@Brendan - Das Dokument ist alt. Ich wünschte, ich könnte die aktuellste Version finden. Ich habe 08/09 für ein Webunternehmen gearbeitet, das die Kreditkartenverarbeitung durchgeführt hat, und ich bin nicht sicher, woher die Regel stammt, aber die Entwicklung musste eine Zwei-Faktor-Authentifizierung erstellen, um einer Bundesrichtlinie zu entsprechen. Ich wünschte, ich könnte die Quelle finden. Wenn ich das tue, werde ich einen Link hinzufügen.
Ben Hoffman
1
Ich meine, Sie sprechen von einer Zwei-Faktor-Authentifizierung, aber darum geht es in der Frage nicht. Die Frage bezieht sich auf eine zweistufige Anmeldeseite, auf der dieselben Informationen wie üblich abgefragt werden (Benutzername auf der ersten Seite, Passwort auf der zweiten).
Brendan Long
0

Das Akzeptieren von Benutzername und Passwort auf einer separaten Seite macht die Anwendung in keiner Weise sicherer. Ich bin daran interessiert zu wissen, auf welcher Website (n) Sie darauf gestoßen sind.

Gaurav Gupta
quelle
0

Meine Bank hat einen sehr guten Grund für die zweistufige Authentifizierung gefunden: Sie verfügt über drei Methoden zur Authentifizierung von Benutzern, die mir bekannt sind:

  • Kryptokarte für Unternehmen
  • Kryptokarte für private Konten (andere Art von Karte!)
  • Nur-Passwort-Authentifizierung

Sie verwenden eine zweistufige Anmeldung, damit sie wissen, über welche Art von Konto Sie verfügen, damit sie bei der Eingabe des Passworts Unterstützung bieten können. Wenn Sie ein Passwort eingeben müssen, werden Sie eindeutig nach einem Passwort gefragt. Wenn Sie Ihre Kryptokarte verwenden müssen, um einen eindeutigen Authentifizierungscode zu generieren, werden Sie nach dem Code gefragt und erhalten einen Hilfelink, der für Ihre Art von Karte spezifisch ist.

Cosmin Prund
quelle
0

Ich würde sagen, es macht es weniger sicher. Weil Sie dann wissen können, dass Benutzer123 ein Konto auf der Site hat, und dann können Sie eine Brute Force für dieses Konto durchführen.

Es ist üblich, Personen niemals mitzuteilen, ob das Konto oder Passwort falsch ist. "Sie haben einen falschen Benutzernamen oder ein falsches Passwort eingegeben."

Das macht es viel schwieriger, Gewalt anzuwenden.

Bruce Aldridge
quelle