Ho notato che molti siti web accedono a un sistema di login di due pagine ( non a due fattori) - dove inserisci il tuo nome utente a pagina 1 e fai clic su invia , e quindi inserisci la password a pagina due e fai clic su invia .
Quali sono i vantaggi a fare questo, avendo username e password su una pagina e facendo clic su submit ? È solo per evitare che le password di accidentalmente vengano inserite nel campo del nome utente?
L'ho visto usato in sistemi come SiteKey che alcune banche usano sui siti web. L'idea è che una volta che l'utente si è identificato nella prima pagina immettendo un nome utente, l'applicazione fornisce alcune informazioni (nel caso di SiteKey un'immagine e una frase scelte dall'utente durante la registrazione), che ha lo scopo di assicurare all'utente che sono sul sito corretto prima che inseriscano la loro password.
È discutibile se questo abbia reali benefici per la sicurezza contro gli attaccanti standard (cioè potrebbe essere possibile che gli attaccanti agiscano come Man-in-the-middle e trasmettono il nome utente al sito, recuperano l'immagine e la mostrano al utente)
Da una prospettiva puramente funzionale, il sistema a 2 pagine consente talvolta la scoperta di home realm (dove l'utente ha account in più di un sistema)
Ad esempio, Microsoft ha qualcosa chiamato l'account Microsoft e l'account organizzativo. La funzione username consente a HRD di reindirizzare al server di autenticazione corretto. Questa funzione è attiva e attiva per tutto Azure, O365 e siti correlati.
Per chiarimenti:
LiveID o Passport è ora noto come account Microsoft
Azure Active Directory, Office 365, WAAD e possibilmente ADFS utilizzano tutti "Account organizzativi"
È possibile avere un account sotto forma di [email protected] in una o entrambe le directory. Puoi verificare la presenza di un account in una o nell'altra directory controllando il JSON disponibile qui
https://login.microsoftonline.com/[email protected]
o
http://odc.officeapps.live.com/odc/emailhrd/getidp?hm=0&emailAddress=USER%COMPANY.com
Un altro vantaggio è che gli utenti possono trovare facilmente un modulo di accesso se si dispone di un campo di immissione del nome utente nella prima pagina, tra tutti gli annunci, i collegamenti e altri contenuti. Quindi, quando inviano il loro nome utente, la password di solito viene inserita in una pagina molto semplice con solo un campo password.
Cerco sempre l'icona del lucchetto in generale, ma mi sento un po 'meno sicuro se inserisco una password insieme a un gruppo di script di annunci e altre potenziali superfici di attacco. Quindi suddividere il login in questo modo potrebbe aggiungere un po 'di sicurezza riducendo la possibile superficie di attacco per l'acquisizione di una password. Per lo meno dà quella percezione.
Ovviamente la soluzione migliore potrebbe essere semplicemente quella di fornire una pagina di accesso dedicata separata che richieda sia il nome utente che la password e solo un grosso pulsante LOGIN sulla home page che ti porta lì.
Leggi altre domande sui tag authentication passwords web-application user-names