Separazione dei passaggi di accesso sicuri

Looking around at other financial services providers, asking for 2 PIN digits only once other security information has been entered is a fairly common pattern. Are there any significant benefits from this approach compared to asking for all the information on a single screen?

Suppongo che gli altri sistemi che hai esaminato ti dicano solo se i tuoi dati non sono corretti dopo il secondo passaggio e non rivelare quale parte delle credenziali fosse errata, il che è positivo.

Sì, ci sono vantaggi significativi, perché quindi l'indice delle cifre viene richiesto solo quando viene determinato quale nome utente sta tentando di autenticare.

Supponiamo che un utente malintenzionato abbia in qualche modo ottenuto alcuni dettagli parziali di un account (ad es. Diciamo che conoscono la seconda e la terza cifra del PIN.

Se la pagina richiedeva tutti i dettagli su una pagina (nome utente, password e due cifre del PIN), l'utente malintenzionato poteva semplicemente aggiornare la pagina, cancellando i cookie ogni volta, fino a quando il prompt PIN era per la 2a e 3a cifra del PIN.

Utilizzando l'approccio a due fasi, le cifre richieste possono essere ricordate dal sistema. per esempio. %codice%. Il sistema dovrebbe anche ricordare le cifre richieste per nomi utente non validi per impedire una enumerazione del nome utente attacco in cui è possibile provare due nomi utente diversi per vedere se sono richieste le stesse cifre. Potresti anche voler aggiornare artificialmente queste cifre dopo un determinato numero di giorni per simulare un login riuscito (altrimenti un utente malintenzionato potrebbe sapere che l'account non è valido o inattivo se ha sempre richiesto le stesse due cifre in giorni di tentativi diversi).

L'altro approccio sarebbe quello di chiedere tutte le cifre del PIN sulla stessa pagina, ma alle banche non piace farlo a causa della tracolla e anche i siti di phishing possono facilmente imitare queste pagine e acquisire tutte le informazioni in una volta (anche se non sto dicendo che l'approccio graduale necessariamente impedirebbe questo genere di attacchi).

Suggerirei di consentire all'utente di inserire l'ID utente, la password e il PIN sulla stessa pagina. Non vedo alcun vantaggio per la sicurezza se l'utente è autorizzato a inserire il PIN solo dopo aver inserito e inviato la combinazione corretta di ID utente e password.

Il tuo metodo avrebbe richiesto di mantenere uno stato dopo aver inviato l'id utente e il PIN corretti. Qualcosa come una sessione. Una volta che l'utente ha una sessione, il rischio è che l'utente possa utilizzare il servizio con questa sessione senza fornire un PIN a causa di un errore di implementazione.

Il tuo metodo proposto aggiunge complessità al processo di autenticazione. La complessità aumenta il rischio di errori. Il processo di autenticazione dovrebbe essere semplice per ridurre il rischio di errori.

L'unica ragione per cui riesco a pensare perché alcuni servizi finanziari lo stiano facendo (PIN dopo l'autenticazione utente / password utente riuscita) è l'usabilità per l'utente. Se l'utente deve fornire ID utente, password e PIN in un unico passaggio, la probabilità aumenta che alcuni dati siano errati. Il servizio non è autorizzato a dire all'utente quale campo era sbagliato perché questo sarebbe un suggerimento per un utente malintenzionato. Pertanto, il servizio direbbe all'utente che qualcosa non va e che l'utente deve ricontrollare tutti i campi. Se il PIN viene inserito nel secondo passaggio e l'utente commette un errore, l'utente sa che il PIN non è corretto.

Non vedo alcun beneficio nel chiedere 2 cifre da un PIN e una password. Sono solo due i fattori che "sai". Non fornisce un ulteriore fattore di autenticazione ed è una seccatura per l'utente.