Perché le schermate di accesso nascondono il campo di inserimento della password fino a quando non viene fornito il nome utente? [duplicare]

Naviga le tue risposte
5

Sto notando una tendenza nello sviluppo web in cui le schermate di accesso non mostrano più contemporaneamente sia il nome utente che i campi di immissione della password. Invece, è necessario digitare il nome utente, quindi fare clic su un pulsante "successivo" che rivelerà il campo di immissione della password. Perché è questo?

Dalla mia esperienza, ho notato che è iniziato qualche tempo fa con Yahoo, almeno un paio di anni fa, e anche Gmail. E ora, Apple ha seguito l'esempio nella maggior parte dei loro siti Web come iCloud.com, iTunes Connect e il sito Web ID Apple. Tuttavia, a differenza di Gmail, Apple non controlla se si dispone di un account prima di rivelare il campo della password. Letteralmente basta mostrare il campo della password.

Sembra che sia per motivi di sicurezza, ma non vedo come. È interessante notare che alcuni sviluppatori web hanno tentato di rubare le credenziali di recente. A pagina carica la soluzione di gestione delle password di Apple potrebbe compilare automaticamente le credenziali, possibilmente rivelando credenziali a siti Web malvagi (o anche se non nefaste fornisce comunque le informazioni dell'utente senza un consenso esplicito). Questo problema è stato risolto di recente non completando il riempimento automatico al caricamento della pagina, ma l'utente deve richiamare l'autofill dopo aver fatto clic sul campo. Credo che non molto tempo dopo che è stato affrontato, questo è quando Apple ha aggiornato le schermate di accesso per nascondere il campo di inserimento della password, che potrebbe non essere una coincidenza. In particolare, la loro implementazione interrompe il riempimento automatico di nome utente e password - sui loro siti ora è necessario selezionare il campo del nome utente, richiamare il riempimento automatico, fare clic sul pulsante successivo, selezionare il campo password, richiamare il riempimento automatico e fare clic sul pulsante successivo per accedere - non riempie il campo nome utente e password al primo richiamo perché il campo password non viene visualizzato fino a quando il nome utente non viene compilato e impegnato.

Nascondere il campo della password fino a quando il nome utente è impegnato a incrementare la sicurezza e, in caso affermativo, come?

    
posta Jordan H 19.04.2018 - 17:33
fonte

1 risposta

4

UX Design

Prima di tutto è un buon design UX. Separa l'identità (il tuo nome utente) dal tuo Metodo di autenticazione (Qualcosa che sei, Qualcosa che hai, Qualcosa che conosci) e nell'epoca delle diverse fonti di autenticazione (Google, Facebook, OpenID, Interno) è un modo sexy per farli apparire come uno.

Sicurezza

Forza bruta

Aumenta la chiamata numerica necessaria per accedere a un servizio, quindi aumenta il tempo necessario per ottenere una password.

Origini multi-autore

Come menzionato nella parte UX, disaccoppiamo Identità e Autent. Ciò semplifica lo sviluppo di applicazioni 2FA che possono utilizzare più schemi.

Origine identità separata

Mantenere una fonte di identità pubblica separata dall'autenticazione. Pensa di avere un server di gestione delle identità che contiene tutte le informazioni su di te, che possono essere utilizzate in tutta la tua attività e che consentire a diversi tipi di persone di autenticarsi in modi diversi.

Sono sicuro che ce ne sono di più se mi siedo e ci penso.

    
risposta data 19.04.2018 - 18:01
fonte

Leggi altre domande sui tag

È accettabile per gli ingegneri della sicurezza avere l'accesso amministrativo ai server di produzione? Il kernel di Linux è vulnerabile a LazyFP (CVE-2018-3665)?