Richiedere un pin invece della password per i siti Web?

0

Curioso se questa potrebbe essere una buona alternativa alle password. Su un sito Web, l'utente può scegliere di utilizzare un pin anziché la password. Se lei sceglie di fare questa (opzione data) da quel momento in poi, il suo account chiede solo il pin e tramite il pop-up di Javascript.

Per gli utenti che non amano abilitare Javascript, potrebbe essere utile avere una password come al solito.

Il pop-up può anche essere buono dato che è più difficile il keylog, se presentiamo l'utente con numeri sullo schermo (come in lastpass o iPhone). Può anche fare il trascinamento come in Android.

Pensi che sia una buona idea, offrire entrambi? C'è qualcosa che vorresti migliorare o cambiare riguardo all'idea?

    
posta user258613 15.09.2014 - 02:19
fonte

1 risposta

4

Non penso che questa sia una grande idea, specialmente come alternativa a una password (piuttosto che in aggiunta a una password):

  • Un pin a 4 cifre di per sé potrebbe essere bruto forzato in ~ 100 giorni anche se hai un blocco di 15 minuti per tentativi di password errati.
  • L'immissione di 4 cifre tramite il mouse su uno schermo è probabilmente più lenta per la maggior parte delle persone rispetto all'inserimento della password tramite la tastiera (che sono abituati a digitare)
  • È molto probabile che le persone utilizzino la permutazione del loro anno di nascita o del codice postale come loro spillo

Per renderlo sicuro, un utente dovrebbe comunque effettuare il login normalmente da ogni macchina, che imposta un cookie di scadenza lunga, quindi ogni volta che l'utente torna al sito deve inserire un pin che imposta un cookie più breve. Questo li protegge solo da qualcun altro che usa il proprio computer mentre l'utente è ancora connesso tramite un cookie a lungo termine.

A seconda dei tuoi obiettivi ti suggerisco quanto segue:

  • Se il tuo obiettivo è l'autenticazione più strong, ti suggerisco di utilizzare l'autenticazione a più fattori
  • Se il tuo obiettivo è rendere più facile l'accesso degli utenti, ma non vuoi utilizzare un cookie più lungo, ricorda il loro nome utente e non la password (gli utenti possono digitare la loro password abbastanza rapidamente)
  • Se il tuo obiettivo è impedire che altre persone curiosino su un computer degli utenti, questo è meglio indirizzato all'utente, disconnettendosi quando lascia il proprio computer.
risposta data 15.09.2014 - 02:42
fonte

Leggi altre domande sui tag