Mirando a otros proveedores de servicios financieros, pedir un número de 2 dígitos PIN solo una vez que se haya ingresado otra información de seguridad es un patrón bastante común. ¿Hay algún beneficio significativo de este enfoque en comparación con solicitar toda la información en una sola pantalla?
Supongo que los otros sistemas que ha examinado solo le informan si alguno de sus datos son incorrectos después del segundo paso y no revelan qué parte de las credenciales fue incorrecta, lo que es bueno.
Sí, hay beneficios significativos, porque entonces el índice de los dígitos solo se solicita cuando se determina qué nombre de usuario es el que está intentando autenticar.
Supongamos que un atacante de alguna manera obtuvo algunos detalles parciales de una cuenta (por ejemplo, navegando por el hombro). Digamos que saben los dígitos 2 y 3 del PIN.
Si la página solicitó todos los detalles en una página (nombre de usuario, contraseña y dos dígitos del PIN), el atacante podría simplemente actualizar la página, borrando las cookies cada vez, hasta que la solicitud del PIN fuera para los dígitos 2 y 3. del PIN.
Usando el enfoque de dos pasos, los dígitos solicitados pueden ser recordados por el sistema. p.ej. %código%. El sistema también tendría que recordar los dígitos solicitados para nombres de usuario no válidos para evitar un username enumeration ataque donde se pueden probar diferentes nombres de usuario dos veces para ver si se solicitan los mismos dígitos. Es posible que también desee actualizar artificialmente estos dígitos después de un número establecido de días para simular un inicio de sesión exitoso (de lo contrario, un atacante sabría que la cuenta no es válida o está inactiva si siempre solicitara los mismos dos dígitos en los intentos de días separados).
El otro enfoque sería solicitar todos los dígitos del PIN en la misma página, pero a los bancos no les gusta hacer esto debido a la navegación por los hombros y también los sitios de phishing pueden imitar estas páginas y capturar toda la información de una sola vez. (aunque no estoy diciendo que el enfoque escalonado necesariamente evitaría este tipo de ataques).