Quale potrebbe essere un rischio per la sicurezza di una funzionalità del sito web che ti consente di connetterti al tuo account senza digitando la tua password, dato che hai permesso un accesso per il prossimo 10 secondi da un secondo protetto dispositivo del tuo.
Un caso di utilizzo semplice è che stai tentando di accedere da un PC non protetto. Non vuoi che i keylogger accedano alle sequenze di tasti, ma devi comunque accedere al tuo account in quella posizione non sicura.
Gli hacker sanno tutto su automazione . Dieci secondi sono un sacco di tempo per un aggressore che sa come scrivere script. Nel tuo scenario, se il PC insicuro è malevolo, può usare questa piccola finestra per mettere in atto molti danni: contrariamente a un utente umano, l'attaccante non si limita alla velocità con cui può muovere un mouse.
Suppongo che tu voglia accedere con il tuo smartphone e, da quello smartphone, consentire l'accesso al tuo account per "dieci secondi" dal PC potenzialmente dannoso; l'idea è che non vuoi digitare la tua preziosa password su quel PC. Questo sarà effettivamente vantaggioso per te se si suppone che il PC si impadronisca passivamente di passwords, ma non si connetterà attivamente a qualsiasi sito Web che si desidera utilizzare. Però non tutti gli attaccanti possono essere considerati affidabili per essere così gentili.
Un'altra soluzione simile, ma molto più comune e affidabile, è quella di utilizzare le password una tantum . Invece di aprire i tuoi account a tutti, anche per un breve periodo, usa una password che funziona solo una volta. I keylogger possono registrarlo, non importa, dal momento che il server non accetterà più di una volta ogni password. Hai ancora tutti i problemi con il PC insicuro attivo malizioso: una volta che accetti di usare la macchina del cattivo, gli dai, virtualmente, l'accesso al tuo account per almeno i pochi secondi in cui lo stai usando e basta per perdere la sicurezza.
L'opzione migliore è quella di produrre una password temporanea che può essere utilizzata sul dispositivo secondario. Crea una password monouso valida per 5 o 30 minuti. Qualsiasi tempo lasciato non protetto potrebbe essere sfruttato, in particolare se sono in grado di monitorare l'IP di una connessione e quindi fare un'ipotesi all'utente.
Leggi altre domande sui tag authentication web-application