¿Por qué las pantallas de inicio de sesión ocultan el campo de entrada de contraseña hasta que se proporciona el nombre de usuario? [duplicar]

Navega tus respuestas
5

Estoy notando una tendencia en el desarrollo web donde las pantallas de inicio de sesión ya no muestran los campos de entrada de nombre de usuario y contraseña simultáneamente. En su lugar, debe escribir su nombre de usuario y luego hacer clic en el botón "siguiente" que luego revelará el campo de entrada de la contraseña. ¿Por qué es esto?

Desde mi experiencia, noté que esto comenzó hace un tiempo con Yahoo, creo que hace al menos un par de años, y también con Gmail. Y ahora, Apple ha seguido el ejemplo en la mayoría de sus sitios web, como iCloud.com, iTunes Connect y el sitio web de Apple ID. Sin embargo, a diferencia de Gmail, Apple no comprueba si tiene una cuenta antes de revelar el campo de contraseña. Literalmente, solo muestra el campo de contraseña.

Parece ser por motivos de seguridad, pero no veo cómo. Es interesante que algunos desarrolladores web intentaron robar credenciales recientemente. En la página de carga, la solución de administración de contraseñas de Apple autocompletaría las credenciales, posiblemente revelando credenciales a sitios web infames (o incluso si no era nefasto, todavía proporcionaba información del usuario sin consentimiento explícito). Esto se solucionó recientemente al dejar de llenar automáticamente la página, en lugar de eso, el usuario debe invocar el autocompletar después de hacer clic en el campo. Creo que no mucho después de que se resolviera el problema, fue cuando Apple actualizó sus pantallas de inicio de sesión para ocultar el campo de entrada de contraseña, lo que puede no ser una coincidencia. Cabe destacar que su implementación rompe el llenado automático del nombre de usuario y la contraseña; en sus sitios, ahora tiene que seleccionar el campo de nombre de usuario, invocar autocompletar, hacer clic en el siguiente botón, seleccionar el campo de contraseña, invocar autocompletar y hacer clic en el siguiente botón para iniciar sesión: no rellena el campo de nombre de usuario y contraseña en la primera invocación porque el campo de contraseña no se muestra hasta después de que el nombre de usuario se haya completado y confirmado.

¿El hecho de ocultar el campo de la contraseña hasta que se confirme el nombre de usuario aumenta la seguridad y, de ser así, cómo?

    
pregunta Jordan H 19.04.2018 - 17:33
fuente

1 respuesta

4

Diseño de UX

En primer lugar, es un buen diseño de UX. Desvincula la identidad (tu nombre de usuario) de tu método de autenticación (algo que eres, algo que tienes, algo que sabes) y en la era de diferentes fuentes de autenticación (Google, Facebook, OpenID, interna) es una forma atractiva de hacer que se vean como uno.

Seguridad

Fuerza bruta

Aumenta el número de llamadas que necesita hacer a un servicio, por lo tanto, aumenta el tiempo que toma obtener una contraseña.

Fuentes de autenticación múltiple

Como se mencionó en la parte UX, desacoplamos Identidad y Autenticación. Esto facilita el desarrollo de aplicaciones 2FA que pueden usar múltiples patrones.

Fuente de identidad separada

Mantenga una fuente de identidad pública separada de su autenticación. Piense en tener un Servidor de administración de identidades que contenga toda la información sobre usted, que pueda usarse en toda su empresa y que permita que diferentes tipos de personas se autentiquen de diferentes maneras.

Estoy seguro de que hay más si me siento y lo pienso.

    
respondido por el Shane Andrie 19.04.2018 - 18:01
fuente

Lea otras preguntas en las etiquetas

¿Es aceptable que los ingenieros de seguridad tengan acceso de administrador a los servidores de producción? TLS1.2 AES 128 CBC Tamaño de datos encriptados