Come si chiama questo metodo / metodo di autenticazione?

Naviga le tue risposte
32

Background: voglio implementare qualcosa di simile nei nostri siti web, e sto cercando consigli e possibilmente API che consentano questo fuori dagli schemi piuttosto che reinventare la ruota, ma non riesco nemmeno a capire termini di ricerca corretti.

Come visto sul mio conto bancario:

  • Quando mi sono registrato, mi è stato chiesto di scegliere una frase che ricorderei
  • Ora, quando accedo al mio sito Web, il processo è il seguente:
    • Inserisco il mio nome utente e clicco su "Avanti".
    • Il sito della banca mi mostra questa frase. Questo mi aiuta a essere sicuro che sono effettivamente sul sito della mia banca e non su un sito falso creato per rubare le mie credenziali di accesso.
    • Se la pass-phrase corrisponde, inserisco la mia password per completare il processo di autenticazione.
    • Se la passphrase non corrisponde, so che o ho inserito il mio nome utente errato o sono su un sito di phishing, e torno alla home page della mia banca e ricominciare da capo.

Nella mia mente, questo suona come "autenticazione multi-step". Tuttavia, quando lo cerco, ottengo risultati per l'autenticazione a più fattori: autenticazione tramite token o autenticazione in due passaggi come implementato da Google e altri siti. Mentre io sono un ENORME sostenitore dell'autenticazione a più fattori utilizzando token o codici inviati al tuo dispositivo mobile, voglio anche capire come fare ciò che sta facendo la mia banca.

Esiste un nome o termine per questo modello di autenticazione?

    
posta David Stratton 02.01.2013 - 15:20
fonte

3 risposte

25

SiteKey è il nome della funzione che molte banche chiamano e dovrebbe essere possibile cercare con quel nome. Aggiunge un minimo se c'è sicurezza. Tutto ciò che il tuo server può presentare all'utente, un uomo nel mezzo può comportarsi come se fosse il cliente e ottenere le stesse informazioni. SiteKey (che probabilmente è ciò che chiama la tua banca) non è sicuro e non aggiunge sicurezza significativa.

In realtà può essere dannoso in quanto potrebbe dare agli utenti un falso senso di sicurezza e far sì che ignorino gli indicatori altrimenti buoni come gli indicatori SSL perché l'immagine o la frase "sicura" è presente. La mia raccomandazione generale è di non usare meccanismi così imperfetti in quanto possono fare più male che bene.

    
risposta data 02.01.2013 - 17:23
fonte
24

Si chiama autenticazione basata sulla conoscenza , ed è usato per autenticare il server remoto. I token di autenticazione comuni sono parole e immagini.

Un punto che vorrei fare è che è una cattiva idea distribuire il token di autenticazione solo dopo aver ricevuto una informazione non segreta come un nome utente. Un utente malintenzionato può indirizzare un singolo utente semplicemente inserendo il suo nome utente nella pagina o anche tramite un iframe o un meccanismo simile di recupero remoto. Invece, è meglio chiedere all'utente di fornire un token di autenticazione debole (ad esempio un pin di 4 cifre), quindi fornire il segreto, quindi chiedere il token di autenticazione strong (ad esempio la password). Ciò rende il meccanismo molto più sicuro.

    
risposta data 02.01.2013 - 15:26
fonte
2

Si chiama SiteKey. Ma recentemente uno studio di Harvard ha rilevato che SiteKey era inefficiente al 97%. SiteKey è suscettibile all'attacco man-in-the-middle. SiteKey offre un falso senso di sicurezza. Ti consiglierei di andare per autenticazione a due fattori , che è l'autenticazione nel vero senso della parola.

    
risposta data 12.02.2013 - 12:09
fonte

Leggi altre domande sui tag

Firebug sembra decifrare il traffico SSL: è il comportamento corretto? Quando un sysadmin lascia quali precauzioni extra devono essere prese?