Voti online in cui i codici in due parti vengono inviati insieme

Naviga le tue risposte
7

Molte società di cui sono membro consentono il voto online per le loro AGM (per eleggere membri, approvare minuti, ecc.). Per votare in tutti questi membri viene inviato un codice in due parti, tuttavia i due codici vengono sempre inviati insieme in una e-mail o in una lettera.

Per come la vedo io, le due parti del codice dovrebbero essere inviate idealmente su diversi canali (ad esempio una parte via email, una parte tramite lettera) o almeno in momenti diversi (ad esempio due email inviate in giorni diversi). Mi rendo conto che ciò renderebbe le cose un po 'più difficili per l'elettore (perdere uno dei codici, dover aspettare il secondo codice prima di votare), ma a che serve inviare due codici insieme? Perché non pubblicare un solo codice da utilizzare?

I codici che ricevo sono spesso in formato: 

Code 1: 12345678
Code 2: abcd
    
posta Eborbob 24.03.2016 - 15:22
fonte

2 risposte

1

Ho ricevuto mailing di due codici simile anche per varie elezioni. La stessa preoccupazione mi colpì, così li guardai più da vicino.

Una cosa che mi ha colpito è che le stesse società ospitano migliaia di elezioni. Quindi qui c'è più di una semplice elezione.

Per coerenza e branding, i siti di voto sono personalizzati per l'organizzazione, quindi ogni anno per la mia Coop, accedo allo stesso URL, qualcosa come link e scrivo il mio voto. Per quanto posso dire, l'URL determina semplicemente il CSS visualizzato in modo che vengano mostrati i loghi ei colori corretti; ma sotto lo stesso sito web serve tutti i loro clienti ed elezioni.

Da questo ha avuto senso che il primo codice identificasse le elezioni specifiche ("Board of Trustees 2018 My Coop", "Board of Trustees 2017 di My Coop", ecc.), e l'altro mi ha identificato come elettore. Se vero, questa non è un'autenticazione a due fattori, è semplicemente una coppia di identificatori.

Come ricordo sono stati nominati qualcosa di generico, come "Codice 1" e "Codice 2" invece di "Numero di elezione" e "ID elettore". Questo può essere inteso a mantenere le cose oscure; per impedire alle persone di provare a votare in altre elezioni o provare a indovinare l'ID di un elettore di qualcun altro.

Potrebbero farlo in modo diverso, come combinare i due ed emettere un numero hash gigante SHA-1 per farmi entrare? Sì, ma l'usabilità di digitare un numero molto lungo è difficile, e stanno cercando di mantenere alta l'usabilità e l'integrità: due numeri più brevi sono più facili da scrivere e probabilmente risolvono i loro problemi.

    
risposta data 05.01.2018 - 19:38
fonte
0

Penso che la tua domanda sia: "se inviano 2 codici contemporaneamente, perché non inviare un solo codice?"

Se dovessi rilasciare l'autenticazione a 2 codici, lo farei supponendo che un transito sia compromesso, quindi inutile per la persona con solo metà del codice. Inviandoli allo stesso tempo, tramite lo stesso mezzo, negano tale misura di sicurezza. Sembra quasi che stiano cercando di fare un'autenticazione economica a 2 fattori. Ma non è davvero un secondo fattore: è un secondo uso di un fattore.

TBH Non riesco davvero a pensare a una ragione per farlo in questo modo. È il peggiore dei due mondi, sia ingombrante che non più sicuro.

    
risposta data 06.11.2017 - 17:22
fonte

Leggi altre domande sui tag

sito Web fasullo utilizzato per scopi di phishing In che modo X-XSS-Protection: "0" influisce sulla sicurezza del mio sito web?