¿Existe una práctica recomendada para fines de seguridad que requiere el enmascaramiento de la ID de usuario y la Contraseña para la banca en línea? ¿Hay alguna razón a favor o en contra de enmascarar a ambos?
La mejor práctica dice que un nombre de usuario debe ser algo que pueda considerarse información pública y, por lo tanto, no necesita ser protegido. El hecho de que encuentren que se debe proteger el nombre de usuario significa que a) están haciendo algo contrario a las mejores prácticas que hacen que sea necesario mantenerlo seguro o b) participan en algún teatro de seguridad para hacer que las personas se sientan más seguras con respecto a su tener en cuenta y, posiblemente, dificultar al mínimo la navegación por los hombros.
No puedo ver cómo daría un beneficio real, ya que la contraseña ya está enmascarada y, por lo tanto, a menos que se registren las claves o se registren las pulsaciones. Si son capaces de obtener la contraseña completamente enmascarada, también podrán obtener el nombre de usuario completamente enmascarado.
Una ganancia medible que supongo que podría ver sería si almacenan el nombre de usuario en caché. Esto significaría que si está accediendo a su cuenta bancaria en un lugar público, el nombre de usuario podría mostrarse, ya ingresado y enmascarado, de manera tal que un internauta solo podría obtener la contraseña y no el nombre de usuario.
El único problema que se me ocurre es que alguien podría fuerza bruta utilizando el ID que hombro -surfed . Sin embargo, su sistema debería implementar métodos para ralentizar este tipo de ataques. Por lo tanto, enmascarar solo la contraseña debería ser suficiente, yo diría que molestaría al usuario más que a cualquier otra cosa.
Citi recientemente agregó la 'característica' donde, después de escribir su nombre de usuario y cambiar enfóquese en el siguiente campo, enmascara el nombre de usuario que ingresó con * excepto los dos primeros y últimos caracteres. Adelante, pruébelo, niños, puede ver el efecto sin hacer clic en el botón "Iniciar sesión".
El único razonamiento que se me ocurre sería hacer que sea más difícil para alguien que navega por el hombro recolectar el nombre de usuario (¡tal vez no deberíamos llamar "asteriscos" enmascaradores sino más bien "starbucks"!) Es un incremento muy pequeño de seguridad, y no me siento mucho más seguro, pero por lo que sé, alguien se sentó y reprimió sus informes de fraude y determinó que tendría un beneficio medible.
No diría que es la mejor práctica; Es nuevo u oscuro, las mejores prácticas generalmente no son ninguna. Vuelve a preguntar en un año y veremos cómo se propaga :)
Básicamente, estás viendo la diferencia entre identidad y autenticación. Su ID de usuario representa su identidad y su contraseña representa su autenticación.
La simple verdad es que su mecanismo de autenticación es robusto y confiable por sí solo, o no lo es. Mantener la identidad en secreto como una defensa contra la identificación de usuario / contraseña en un débil intento de reforzar un esquema de autenticación deficiente supone una carga adicional para los usuarios. Si uso mi dirección de correo electrónico como mi ID de usuario, ¿está diciendo que debo mantener mi dirección de correo electrónico en secreto? Es probable que solo confunda a sus usuarios, quienes ya sienten que están fuera de control con la seguridad de la computadora. En su lugar, sigue el principio de la menor sorpresa.
Si su identidad debe mantenerse en secreto por razones de seguridad, hay una falla en el diseño de su seguridad.
Hay casos válidos en los que la identidad del usuario debe mantenerse en secreto, y eso es por privacidad. Por ejemplo, la Ley del Título II (Privacidad) de HIPAA estipula que su información médica debe mantenerse en privado. Eso significa que si compra medicamentos en la farmacia, debe demostrar su identidad al farmacéutico, pero es posible que la farmacia no asocie públicamente su compra de los medicamentos con su identidad. No se permite que su recibo diga "SR HILL" y "ANTIDEPRESSANTS-90 DAYS $ 150.00". La farmacia es responsable de proteger sus registros de ventas (eso requiere seguridad de la farmacia, una cosa diferente).
Pero usted dijo "banca", y esa es un área donde el secreto de la ID de usuario a menudo ha sido confundido por la gente como un requisito comercial. Por ejemplo, en los libros de cuentas de un banco, su identidad es su número de cuenta, y dado que los bancos han hecho históricamente un trabajo horrible de seguridad de la información, a menudo no tienen un paso de autenticación separado. Eso significa que si conozco su número de cuenta, puedo falsificarlo en un cheque en blanco y gastar su dinero. O si conozco el número de su tarjeta de crédito, puedo escribirlo en un sitio web y gastar su dinero. Toda la industria de seguridad de datos PCI se basa en estos errores. Pero esos son los defectos del diseño inseguro original que nunca separó la identidad de la autenticación. La identificación no debería ser necesaria, pero en este caso lo hace.
Las prácticas de seguridad mejoradas han solucionado la mayoría de estos tipos de problemas. Por ejemplo, ya no usa el número de cuenta como ID de usuario, y saber solo una ID de usuario no me permite gastar el dinero de ese usuario. En este caso, no es necesario mantener la ID de usuario en secreto.
Otra situación extraña es si su ID de usuario representa algún otro atributo que sus clientes puedan desear mantener en privado. Supongamos que sus esquemas no son secretos, porque generalmente no lo son. Si prefieres las ID de usuario de tus clientes de un millón de dólares con "000-" para indicárselas a tus cajeros para el tratamiento de la alfombra roja, como cliente millonario no quiero que todos los que vean mi identificación sepan que soy rico. Nuevamente, ese es un caso donde el secreto se usaría para encubrir un diseño inseguro. Dicha información nunca debe revelarse hasta que el cliente esté autenticado.
Lea otras preguntas en las etiquetas authentication