Perché alcuni siti richiedono username / email e password su due schermi separati? [duplicare]

Svantaggio sicurezza / privacy

Ci sono rischi per la sicurezza e la privacy coinvolti in questo approccio quando mal implementati. Un utente malintenzionato potrebbe capire se l'e-mail o il login esistono già, quando non hanno un flusso predefinito. Come detto @Mario Trucco questo può essere fatto anche attraverso il processo di registrazione.

1. La sicurezza è a rischio: perché diventa più facile per un utente malintenzionato inserire la forza bruta in un sistema. Renderà l'ipotesi più facile se hai solo bisogno di indovinare una password, invece del nome utente e della password.
2. La privacy degli utenti è sotto controllo. (Altre persone sapranno se sei elencato in quel sito Web.)

Motivi per cui è stato implementato

L'ho trovato nella documentazione di Google :

This new Google account sign-in flow will provide the following advantages:

1. Preparation for future authentication solutions that complement passwords
2. A better experience for SAML SSO users, such as university students or corporate users that sign in with a different identity provider than Google

Vantaggio di sicurezza

1. Può abilitare più opzioni di personalizzazione personalizzate per la sicurezza come frasi o immagini che offrono più opzioni di sicurezza (vedi esempio sotto). Ciò ridurrebbe l'ambito del phishing in quanto lo schermo generato sarebbe specifico per l'utente e varierebbe da utente a utente.
2. Poiché gli utenti possono avere diversi modi di autenticazione e l'identità dell'utente è uguale al nome utente, questo renderà più semplice il reindirizzamento lato server verso il modulo di autenticazione degli utenti

Immagine di esempio   -vGliutentivedonol'immagineoilsuonopersonale"suo / lei". Se quell'immagine non corrisponde all'immagine fornita al momento della registrazione. Gli utenti sanno che questo è un falso login.

In alcuni casi le password non sono un requisito per l'autenticazione.

Il nome utente generalmente determina come e cosa autentica un utente; in un accesso federato il nome utente identificherà il provider di identità che autenticherà l'utente. Quel provider di ID potrebbe usare una password ma non è richiesto; molti flussi di accesso alternativi possono accadere passivamente o utilizzare altre informazioni (ad es. smart card o altro token hardware, dati biometrici, ecc.)

L'acquisizione di una password in questi scenari porta l'utente a immettere i dati (sensibili) due volte (poiché Hotmail / Google non hanno bisogno di queste informazioni, il provider ID dovrebbe richiederle una seconda volta) o l'inserimento di dati che è non è affatto necessario.

Le altre risposte hanno accennato a questo, ma non proprio, penso, chiarito i potenziali vantaggi in termini di sicurezza di un accesso in due fasi come questo.

In questo modo le cose ti consentono di separare le fasi di identificazione e autenticazione del processo di accesso. Supponiamo ad esempio che tu abbia un'applicazione che ha più livelli di account utente con diversi requisiti di autenticazione (ad esempio, alcuni utenti hanno 2FA alcuni hanno solo un'autenticazione password) o forse qualcosa come un sistema portale con diversi database utente di backend.

Prendendo il nome utente sullo schermo uno, puoi quindi presentare il tipo di autenticazione corretto per quell'utente sullo schermo due. Come menzionato da @ludisposed, è necessario disporre di un flusso "predefinito" per gli utenti che non esistono per evitare di rivelare nomi utente validi / non validi a qualcuno che cerca di indovinare account validi sul sistema.

La ragione principale per separare il nome utente / la voce di posta elettronica dalla password è l'autenticazione federata. In molte moderne applicazioni Web, l'accesso dell'utente viene gestito dall'organizzazione dell'utente (ad esempio la tua azienda o scuola). Il sito Web che si sta visitando (noto come fornitore di servizi) manterrà un elenco delle organizzazioni con le quali è stata stabilita l'autenticazione federata e i domini utilizzati da tali organizzazioni. Dopo aver fornito il tuo indirizzo email, il fornitore di servizi utilizzerà il nome di dominio per determinare l'organizzazione e ti invierà al sistema di accesso dell'organizzazione (noto come provider di identità). Completi il collegamento alla tua organizzazione, quindi la tua organizzazione ti rimanda al sito web originale, con le informazioni sulla tua identità sotto forma di cookie web più comunemente. Per ulteriori informazioni, ti consiglio di cercare SAML e OpenID Connect, che sono i due protocolli più comunemente usati per questo.

Offre in modo diverso i modi di autenticazione

L'invio del nome utente / indirizzo email da solo consente loro di cercare il tuo account e verificare quali opzioni di autenticazione dovrebbero offrire, in base alla configurazione del tuo account.

Ad esempio: se devono semplicemente chiedere una password o inviare un codice monouso via SMS o reindirizzare il browser Web alla pagina di autenticazione di un servizio di terze parti.

È un altro modo per assicurarti di essere impegnato a visitare il sito Web e ad accedere. Inoltre è un altro modo per assicurarti di non essere un robot o una sceneggiatura. È anche un modo per monitorare l'interazione con il login. Tutto si collega alla privacy e alla sicurezza