Apa alasan untuk memiliki login dua langkah? (Nama pengguna pada satu halaman, kata sandi pada halaman kedua.)

8

Jadi saya baru-baru ini mengalami lebih banyak proses login dua langkah, di mana saya diminta untuk memasukkan nama pengguna saya di satu halaman dan kata sandi saya di detik. Saya benar-benar tidak menyukai pola ini, karena ini membutuhkan pemuatan halaman tambahan hanya untuk login.

Tetapi saya telah diberitahu oleh beberapa orang bahwa itu lebih aman. Bagaimana ini lebih aman? Apakah ada alasan lain untuk membuat pengguna tidak nyaman dengan ini?

security authentication Daniel Bingham
sumber
1
Keamanan dan kegunaan akan selalu bertentangan
John Conde
Sepertinya ada yang salah paham tentang arti login 2 langkah sebenarnya
JamesRyan

Jawaban:

4

Nyata dua faktor otentikasi memperkenalkan tingkat keamanan lain dengan mendapatkan pengguna untuk login dengan username dan password mereka dan kemudian mengatakan kode yang dihasilkan di ponsel mereka atau melalui generator kartu / kode (Barclays Bank dikirim pembaca kartu yang menghasilkan penggunaan sekali kode berdasarkan gesek kartu Anda.

Membagi nama pengguna dan kata sandi ke dua halaman berbeda tidak menambah apa pun dalam hal keamanan tambahan (AFAIK)

Esensi Digital
sumber
Ya, itulah yang saya pikirkan.
Daniel Bingham
Saya benci harus menggunakan pembaca kartu Barclay hanya untuk masuk - sangat banyak sehingga saya telah menutup akun.
ajcw
Aku merasakan kepedihanmu, John. Lebih buruk ketika mereka bersikeras Anda menggunakannya tetapi sebenarnya tidak mengirimkannya kepada saya. Itu hebat ...
Digital Essence
4

Satu-satunya alasan saya melihat login dua langkah saat Anda menjelaskannya lebih aman adalah jika nama pengguna yang dimasukkan pada halaman pertama dicocokkan dengan beberapa jenis gambar atau frasa yang dipilih pengguna saat mereka mendaftar. Ini membantu situs memverifikasi sendiri.

Jika seseorang menyalin situs Anda untuk digunakan dalam kampanye phishing, mereka tidak akan dapat menampilkan gambar atau frasa. Ini melindungi pengguna ketika mereka memasukkan kata sandi mereka.

Jika Anda tidak menarik item keamanan akun tambahan dari halaman pertama ke halaman kedua, maka tidak ada gunanya melakukannya dengan cara itu.

lovefaithswing
sumber
Benar, tetapi ini juga dapat dilakukan dengan satu halaman dan pendekatan berbasis cookie, seperti yang terlihat pada halaman masuk Yahoo.
Jacob Hume
1
Pendekatan berbasis cookie tidak menangani masuk di komputer yang berbeda. Situs seperti situs bank menginginkan perlindungan bahkan jika Anda tidak memiliki cookie yang ditetapkan. Sudah berakhir membunuh untuk sebagian besar situs. Tapi itulah alasan di baliknya.
lovefaithswing
4

Satu-satunya alasan yang dapat saya pikirkan adalah mencegah serangan otomatis.

Saat nama pengguna dan kata sandi diterima pada satu halaman, relatif mudah untuk membuat skrip otomatis yang akan menggedor halaman itu dengan kombinasi nama pengguna dan kata sandi sampai sesuatu melewati - disebut serangan "Brute force", untuk alasan yang jelas.

Memasukkan nama pengguna Anda di satu halaman dan kata sandi Anda dimasukkan di halaman lain akan membuat serangan semacam ini lebih sulit, tetapi bukan tidak mungkin. Ini akan melakukan pekerjaan yang bagus untuk mencegah penyerang sederhana, dan menempatkan Anda di depan sebagian besar situs.

Meskipun secara teknis Anda tidak lebih aman daripada tetangga Anda, Anda bukan lagi buah yang mudah digantung.

Jacob Hume
sumber
2

Ini adalah kasus yang aneh, tetapi jika situs utama disajikan tidak terenkripsi (karena alasan kinerja mungkin), tetapi Anda ingin pengguna dapat memulai proses login dari halaman itu, alih-alih mengklik tautan "masuk". Mengirim nama pengguna Anda yang tidak dienkripsi bukanlah masalah besar, dan kemudian Anda dapat melayani bagian kedua dari halaman login (bidang kata sandi) melalui HTTPS.

Saya pikir itu mungkin tidak sepadan (lebih banyak pekerjaan untuk programmer, lebih banyak pekerjaan untuk pengguna, sedikit penurunan beban kerja prosesor), tetapi beberapa orang mungkin berpikir itu berharga.

Contoh: First National melakukan ini di beranda mereka.

Brendan Long
sumber
1

Saya hanya dapat menemukan dokumentasi yang lebih lama tentang ini, http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html . Singkat cerita Bank AS dan saya percaya perusahaan Kartu Kredit diharuskan menggunakan otentikasi dua faktor untuk formulir masuk situs web mereka.

Ketika pos itu membahasnya tidak benar-benar menyelesaikan masalah, itu hanya membuat penjahat memiliki satu simpai lagi untuk dilewati.

Ben Hoffman
sumber
1
Pertanyaannya tidak menggambarkan otentikasi dua faktor ..
Brendan Long
@ Brendan - Dokumen sudah tua. Saya berharap dapat menemukan versi terbaru. Saya bekerja untuk sebuah perusahaan web di 08/09 yang melakukan pemrosesan kartu kredit dan saya tidak yakin dari mana aturan itu berasal tetapi mengembangkan harus membuat otentikasi dua faktor untuk mematuhi pedoman federal. Saya berharap dapat menemukan sumbernya. Jika saya melakukannya, saya akan menambahkan tautan ke sana.
Ben Hoffman
1
Maksud saya adalah bahwa Anda berbicara tentang otentikasi dua faktor, tetapi bukan itu pertanyaannya. Pertanyaannya adalah tentang halaman login dua langkah yang menanyakan informasi yang sama seperti biasa (nama pengguna di halaman pertama, kata sandi di halaman kedua).
Brendan Long
0

Menerima nama pengguna dan kata sandi pada halaman terpisah tidak membuat aplikasi lebih aman dengan cara apa pun. Saya tertarik mengetahui situs web mana yang Anda temui ini?

Gaurav Gupta
sumber
0

Bank saya menemukan alasan yang sangat bagus untuk menggunakan otentikasi dua langkah: Mereka punya 3 metode otentikasi pengguna yang saya tahu:

  • Kartu crypto untuk perusahaan
  • Kartu crypto untuk akun pribadi (berbagai jenis kartu!)
  • Otentikasi hanya kata sandi

Mereka menggunakan login dua langkah sehingga mereka tahu jenis akun yang Anda miliki sehingga mereka dapat menawarkan bantuan saat memasukkan kata sandi. Jika Anda perlu memasukkan kata sandi, mereka jelas meminta kata sandi. Jika Anda perlu menggunakan kartu crypto Anda untuk menghasilkan kode autentikasi yang unik, mereka meminta kode tersebut dan memberikan tautan bantuan khusus untuk jenis kartu Anda.

Cosmin Prund
sumber
0

Saya akan mengatakan itu membuatnya kurang aman. Karena Anda kemudian dapat mengetahui bahwa user123 memiliki akun di situs tersebut, dan kemudian Anda dapat melakukan kekerasan pada akun itu.

Praktik standar adalah jangan pernah memberi tahu orang lain jika akun atau kata sandi salah.

membuatnya jauh lebih sulit untuk brute force.

Bruce Aldridge
sumber