C'è un vantaggio nel richiedere le stesse informazioni se l'autenticazione fallisce?

1

I siti web finanziari (banche, agenzie di segnalazione di crediti, ecc.) spesso utilizzano due fasi per l'autenticazione dell'utente:

  • Identificatore (numero di conto, email, ecc.)
  • Due personaggi da una parola memorabile

Ho notato che se non riesco ad autenticare correttamente (caratteri errati, errore del sito web) questi siti web richiedono la stessa identica combinazione di caratteri dalla tua parola memorabile.

Il fatto che questa politica sembri diffusa suggerisce che questo ha qualche vantaggio in termini di sicurezza.

Quali sarebbero tali benefici per la sicurezza (come non riesco a pensare a nessuno)?

    
posta cybermonkey 14.12.2017 - 02:34
fonte

1 risposta

4

Impedisce l'attacco di replay. Se l'attaccante riesce a intercettare la parola parziale memorabile da un numero di precedenti interazioni, l'attaccante può semplicemente aggiornare la pagina finché non gli viene chiesta la parte della parola memorabile di cui sono a conoscenza. Inserire la parte della parola memorizzabile impedisce all'aggressore di farlo.

Si noti che questa è semplicemente un'implementazione di OTP da parte di un uomo povero. Un'implementazione migliore per impedire l'attacco di riproduzione consiste nell'utilizzare il token hardware, il messaggio di testo o l'app TOTP conforme allo standard RFC 6238 come Google Authenticator.

    
risposta data 14.12.2017 - 02:50
fonte

Leggi altre domande sui tag