Esiste una best practice per motivi di sicurezza che richiede la mascheratura sia dell'ID utente che della password per l'online banking? C'è qualche logica a favore o contro la mascheratura di entrambi?
Le buone pratiche dicono che un nome utente dovrebbe essere qualcosa che può essere considerato un'informazione pubblica e quindi non ha bisogno di essere protetto. Il fatto che ritengano che il nome utente debba essere protetto significa che a) stanno facendo qualcosa contro le migliori pratiche che rende necessario essere tenuti al sicuro o b) si stanno impegnando in qualche teatro di sicurezza per far sentire le persone più sicure sul loro account e possibilmente rendere la navigazione a spalla minimamente più difficile.
Non riesco a vedere come possa dare un vantaggio reale dato che la password è già mascherata e quindi, a meno che le chiavi non vengano registrate o che i tasti vengano registrati. Se sono in grado di ottenere la password completamente mascherata, saranno anche in grado di ottenere il nome utente completamente mascherato.
Un guadagno misurabile suppongo di poter vedere se memorizzava il nome utente nella cache. Ciò significherebbe che se si accede al proprio conto bancario in un luogo pubblico, il nome utente potrebbe essere visualizzato, già inserito e mascherato, in modo tale che un navigatore esterno sia in grado di ottenere solo la password e non il nome utente.
L'unico problema che potrei pensare è che qualcuno potrebbe bruteforce utilizzare l'ID che spalla -surfed. Tuttavia, il tuo sistema dovrebbe implementare metodi per rallentare questo tipo di attacchi. Pertanto, mascherare solo la password dovrebbe essere sufficiente, direi che infastidirebbe l'utente più di ogni altra cosa.
Citi ha recentemente aggiunto la 'funzione' dove, dopo aver digitato il tuo nome utente e cambiato focus sul campo successivo, maschera il nome utente che hai inserito con * tranne il primo e l'ultimo due caratteri. Vai avanti e provalo, ragazzi, puoi visualizzare l'effetto senza fare clic sul pulsante "Accedi".
L'unica spiegazione logica che mi viene in mente sarebbe di rendere più difficile per qualcuno navigare a spalla per raccogliere il nome utente (forse non dovremmo chiamare gli "asterischi" di mascheratura ma piuttosto "Starbucks"!) È un incremento molto sottile di sicurezza, e non mi sento molto più sicuro per questo, ma per quanto ne so qualcuno si è seduto e ha scricchiolato i loro rapporti di frode e determinato che avrebbe avuto un beneficio misurabile.
Non direi che è una buona pratica; è nuovo o oscuro, le migliori pratiche di solito non sono né l'uno né l'altro. Vieni a chiedere di nuovo tra un anno e vedremo come si diffonde:)
Stai essenzialmente osservando la differenza tra identità e autenticazione. Il tuo ID utente rappresenta la tua identità e la tua password rappresenta la tua autenticazione.
La semplice verità è che il tuo meccanismo di autenticazione è robusto e affidabile da solo o non lo è. Mantenere l'identità segreta come difesa contro l'identificazione di ID utente / password in un debole tentativo di sostenere uno schema di autenticazione scadente comporta un onere aggiuntivo per gli utenti. Se utilizzo il mio indirizzo e-mail come ID utente, stai dicendo che devo mantenere il mio indirizzo e-mail segreto? Probabilmente confonderà solo i tuoi utenti, che già sentono di trovarsi in una situazione fuori controllo con la sicurezza del computer. Invece, segui il Principio di Least Surprise.
Se la tua identità deve essere tenuta segreta per motivi di sicurezza, c'è un difetto nella progettazione della tua sicurezza.
Ci sono casi validi in cui l'identità dell'utente deve essere tenuta segreta, e questo è per la privacy. Ad esempio, l'HIPAA Title II (Privacy) Act stabilisce che le tue informazioni mediche devono essere mantenute private. Ciò significa che se acquisti farmaci in farmacia, devi dimostrare la tua identità al farmacista, ma la farmacia potrebbe non associare pubblicamente l'acquisto dei farmaci con la tua identità. La ricevuta non è autorizzata a pronunciare "SR HILL" e "ANTIDEPRESSANTS-90 DAYS $ 150,00". La farmacia è responsabile della protezione dei record di vendita (che richiede la sicurezza della farmacia, una cosa diversa).
Ma lei ha detto "bancario", e questa è un'area in cui il segreto degli ID utente è stato spesso confuso dalle persone come requisito aziendale. Ad esempio, nei libri contabili di una banca, la tua identità è il tuo numero di conto e dal momento che l'attività bancaria ha storicamente svolto un lavoro orribile di sicurezza delle informazioni, spesso non hanno una fase di autenticazione separata. Ciò significa che se conosco il tuo numero di conto, posso farlo su un assegno in bianco e spendere i tuoi soldi. O se conosco il numero della tua carta di credito, posso inserirlo in un sito web e spendere i tuoi soldi. L'intero settore della sicurezza dei dati PCI si basa su questi errori. Ma quelli sono la colpa del design originale insicuro che non ha mai segregato l'identità dall'autenticazione. L'ID non dovrebbe essere protetto, ma in questo caso lo fa.
Migliori pratiche di sicurezza hanno risolto la maggior parte di questi tipi di problemi. Ad esempio, non utilizzi più il numero di conto come ID utente e sapere che solo un ID utente non mi consente di spendere i soldi di quell'utente. In questo caso non è necessario mantenere l'ID utente segreto.
Un'altra strana situazione è se il tuo ID utente rappresenta altri attributi che i tuoi clienti potrebbero voler mantenere privati. Supponi che i tuoi schemi non siano segreti, perché di solito non lo sono. Se prefissi ai tuoi ID utente del client da un milione di dollari con "000-" per indicarli ai tuoi scrutatori per il trattamento con tappeto rosso, come cliente milionario non voglio che tutti quelli che vedono il mio ID sappiano che sono ricco. Ancora una volta, questo è un caso in cui la segretezza verrebbe utilizzata per coprire un progetto insicuro. Tali informazioni non dovrebbero mai essere rivelate fino a quando il client non sarà autenticato.
Leggi altre domande sui tag authentication