¿Cuáles son las razones para tener un inicio de sesión en dos pasos? (Nombre de usuario en una página, contraseña en la segunda).

Así que recientemente me he encontrado con más procesos de inicio de sesión en dos pasos, donde debo ingresar mi nombre de usuario en una página y mi contraseña en un segundo. Realmente no me gusta este patrón, ya que requiere una carga de página adicional solo para iniciar sesión.

Pero un par de personas me han dicho que es más seguro. ¿Cómo es más seguro? ¿Hay otras razones para molestar al usuario con esto?

La autenticación real de dos factores introduce otro nivel de seguridad al hacer que los usuarios inicien sesión con su nombre de usuario y contraseña y luego digan un código generado en su teléfono o mediante un generador de tarjeta / código (Barclays Bank envió lectores de tarjetas que generan un código de uso único basado en su tarjeta deslizar.

Dividir el nombre de usuario y la contraseña en dos páginas diferentes no agrega nada en términos de seguridad adicional (AFAIK)

La única razón por la que he visto que el inicio de sesión en dos pasos como lo describe es más seguro es si el nombre de usuario ingresado en la primera página coincide con algún tipo de imagen o frase que el usuario elige cuando se registra. Esto ayuda al sitio a verificarse a sí mismo.

Si alguien copiara su sitio para usarlo en una campaña de phishing, no podría mostrar la imagen o frase. Protege al usuario cuando ingresa su contraseña.

Si no está sacando ningún elemento adicional de seguridad de la cuenta de la primera página a la segunda, entonces no tiene mucho sentido hacerlo de esa manera.

El único razonamiento que se me ocurre implica la prevención de ataques automáticos.

Cuando el nombre de usuario y la contraseña son aceptados en una página, es relativamente simple crear un script automatizado que martilleará esa página con combinaciones de nombre de usuario y contraseña hasta que algo pase, llamado ataque de "Fuerza bruta", por razones obvias.

Tener su nombre de usuario ingresado en una página y su contraseña ingresada en otra página haría que este tipo de ataque sea más difícil, pero no imposible. Haría un buen trabajo al mantener alejados a los atacantes simples y lo pondría por delante de la mayoría de los sitios.

Aunque técnicamente no eres más seguro que tu vecino, ya no eres una de las frutas más bajas.

Este es un caso extraño, pero si el sitio principal se sirve sin cifrar (probablemente por razones de rendimiento), pero desea que los usuarios puedan iniciar el proceso de inicio de sesión desde esa página, en lugar de hacer clic en el enlace "iniciar sesión". Enviar su nombre de usuario sin cifrar no es un gran problema, y ​​luego podría servir la segunda parte de la página de inicio de sesión (el campo de contraseña) a través de HTTPS.

Creo que probablemente no valga la pena (más trabajo para los programadores, más trabajo para los usuarios, una pequeña disminución en la carga de trabajo del procesador), pero algunas personas podrían pensar que vale la pena.

Ejemplo: First National hace esto en su página de inicio.

Solo pude encontrar esta documentación anterior al respecto, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Para resumir, los bancos de EE. UU. Y creo que las compañías de tarjetas de crédito están obligadas a utilizar la autenticación de dos factores para los formularios de inicio de sesión de su sitio web.

Como la publicación discute, en realidad no resuelve el problema, solo hace que los delincuentes tengan un aro más para saltar.

Aceptar el nombre de usuario y la contraseña en una página separada no hace que la aplicación sea más segura de ninguna manera. Estoy interesado en saber en qué sitio (s) se encontró con esto.

Mi banco encontró una muy buena razón para usar la autenticación en dos pasos: tienen 3 métodos de autenticación de usuarios que conozco:

• Cripto tarjeta para empresas
• Tarjeta criptográfica para cuentas privadas (¡diferentes tipos de tarjeta!)
• Autenticación solo con contraseña

Utilizan el inicio de sesión en dos pasos para que sepan el tipo de cuenta que tiene para poder ofrecerle ayuda al ingresar la contraseña. Si necesita ingresar una contraseña, claramente le piden una contraseña. Si necesita usar su tarjeta criptográfica para generar un código de autenticación único, solicite el código y le proporcionará un enlace de ayuda específico para su tipo de tarjeta.

Yo diría que lo hace menos seguro. Porque entonces puede saber que user123 tiene una cuenta en el sitio, y luego puede hacer una fuerza bruta en esa cuenta.

La práctica estándar es no informar nunca a las personas si la cuenta o la contraseña son incorrectas. "Usted ingresó un nombre de usuario o contraseña incorrectos"

haciendo mucho más difícil la fuerza bruta.