Gli accessi con pulsante sono più sicuri dei normali login dei moduli?

Naviga le tue risposte
6

Recentemente mi sono trasferito in Francia e ho dovuto trovare un nuovo fornitore di cellulari, e ho optato per Free Mobile . La loro pagina di accesso presenta un accesso pulsante-push per "identifiant" (nome utente) e un campo modulo normale per la password.

Dopo aver eseguito il debug di un bit, sembra che il campo del modulo nascosto per il nome utente sia un array 0-10 degli indici dei pulsanti effettivi, attivati da JavaScript. Quindi, indipendentemente dall'ordine (casuale) dei numeri sui pulsanti, l'indice del pulsante è ciò che viene registrato nell'input. Immagino che l'effettivo array index-to-button-order sia memorizzato sul server (a meno che non sia in JavaScript, non sono così bravo, nel qual caso wow security by obscurity much?).

Per farla breve, questo metodo di accesso è effettivamente più sicuro? Per me, non sembra così, ed è così fastidioso dato che non funziona con il mio gestore di password.

Mi chiedo perché alcuni siti web implementino questo tipo di login, perché mi rende la vita un po 'più difficile (e onestamente, meno sicura dato che tengo una copia del mio nome utente sul mio computer). È in realtà più sicuro, la stessa sicurezza di un normale accesso basato su moduli, o meno sicuro, e perché?

    
posta Chris Cirefice 13.01.2018 - 20:30
fonte

4 risposte

8

Hai quasi risposto alla tua domanda tu stesso, potrei solo provare a dare dei motivi per cui in realtà è meno sicuro dei moduli di accesso regolari.

Long story short, is this login method actually more secure? For me, it doesn't seem so, and it's so annoying given that it doesn't work with my password manager.

Esiste una regola, formulata in security.stackexchange:

Security at the expense of usability comes at the expense of security.

Vedi qui .

Chiamato: Regola di usabilità di AviD, o come la chiamo io: sicurezza attraverso l'inutilizzabilità. In pratica significa che non appena si diminuisce l'usabilità della misura di sicurezza, la sicurezza stessa diminuirà. Possiamo vedere molte di queste "invenzioni" nel mondo del software:

  • non consentito "incolla" nel campo password / nome utente - l'ho preso in giro nel mio tweet: link puoi anche leggere il post del blog Troy Hunts su questo: link
  • limitazioni pazzesche sulla lunghezza della password;
  • requisiti rigorosi su simboli speciali e trascuratezza simultanea sulla lunghezza della password (incentivo a non utilizzare lunghe password memorabili).
risposta data 13.01.2018 - 23:18
fonte
1

Questo sembra un caso classico di "Non vogliamo che i sistemi automatici accedano al nostro sito, quindi abbiamo creato un BSB (Big Stupid Barrier) per garantire che solo un robot umano (o sufficientemente programmato) possa ottenere nel". Questo, come altri hanno notato, sacrifica la sicurezza adeguata per la presunta sicurezza attraverso l'oscurità, l'inutilizzabilità e il fastidio, come per il tuo gestore di password, anche i dati non sono corretti perché il BSB sta effettivamente facendo il suo lavoro in una certa misura. dal riempimento) ma la tua impressione è corretta, in realtà è meno sicura.

Mi chiedo quanto sia deprimente la sicurezza del backend che hanno messo un BSB sul front-end!

    
risposta data 14.01.2018 - 22:29
fonte
0

Da un punto di vista della sicurezza, l'unico vantaggio potenziale che posso vedere è la protezione dai keylogger. Ma dal momento che questo è per il nome utente che è normalmente considerato informazione pubblica, direi che questo non si applica in realtà.

Avendo dato un'occhiata al sito personalmente non ne capisco davvero il senso.

    
risposta data 13.01.2018 - 20:41
fonte
0

La visualizzazione dei pulsanti delle cifre in ordine diverso ogni volta che la pagina viene aggiornata ricorda il modo in cui Captcha protegge i moduli Web dai robot.

Come accennato nell'altra risposta, questo è probabilmente il conforto dell'utente che sembra più intelligente, avendo quindi un Captcha "classico" sotto il modulo.

    
risposta data 14.01.2018 - 00:35
fonte

Leggi altre domande sui tag

Con quale precisione il tuo ISP ti dice che stai usando Tor? È possibile trasferire informazioni di una carta di credito una tantum su una scheda di banda magnetica fisica?