¿Es más seguro el nombre de usuario / nombre de usuario para iniciar sesión que el correo electrónico?

4

Recientemente empecé a jugar Star Wars: The Old Republic, que para aquellos que no lo sepan, es un MMO. Antes de jugar el juego, siempre me conectaba con mi combo de correo electrónico / contraseña. Sin embargo, recibí un correo electrónico de Bioware (los desarrolladores) hoy que decía esto:

  

A partir del 2 de abril de 2013, solo podrá iniciar sesión en el juego o sitio web utilizando su   Nombre para mostrar: su dirección de correo electrónico ya no será aceptada a partir de ese momento.

Sigue diciendo que

  

Este nuevo cambio en el procedimiento de inicio de sesión se está implementando por varios motivos. Este cambio aumenta la seguridad de nuestro sistema de autenticación del juego, lo que ayuda a mantener el juego protegido de muchas amenazas de seguridad, incluidas las tomas de cuenta.

¿Lo que me obliga a iniciar sesión con mi nombre de usuario en lugar de mi correo electrónico es más seguro que iniciar sesión con un correo electrónico? Ambos usan la misma contraseña. ¿Por qué una empresa elige hacer esto desde un punto de vista de seguridad?

    
pregunta David Adrian 06.03.2013 - 00:49
fuente

3 respuestas

1

Un aspecto está bien descrito por @AJHenderson e involucra un esquema de verificación de restablecimiento de contraseña potencialmente inseguro, si la computadora del usuario final fue comprometida por un registrador clave.

Otro es señalado por @Zaffy y se refiere al uso de uno de los valores publicados para la verificación. Le agregaría que estos cambios generalmente son provocados por cambios en el EULA / TOS de los sitios web y, de ser así, podría encontrar su respuesta allí. ¿Han cambiado sus términos de servicio últimamente? ¿O tal vez el proveedor de servicios deseaba que sus miembros pudieran publicar sus direcciones de correo electrónico a otros miembros, si así lo deciden? En cualquier caso, si la dirección de correo electrónico se vuelve repentinamente visible para otros miembros, ese es un caso claro para reforzar la seguridad de inicio de sesión mediante el uso de datos de usuarios no divulgados.

Pero posiblemente también haya otro motivo relacionado con la seguridad para no incluir las direcciones de correo electrónico de los usuarios. Si el proceso de inicio de sesión de alguna manera revela cuál de los dos campos obligatorios no coincide con ningún registro en la base de datos de usuarios registrados (por un mensaje de error distinto, al eliminar valores de campo ingresados de manera no válida, ...). Es decir, si un proceso de inicio de sesión fue demasiado fácil para el usuario con sus respuestas, un atacante podría obtener información fácilmente, ya sea que una determinada dirección de correo electrónico esté registrada en el sitio web en cuestión. Lo que a su vez podría invalidar el EULA / TOS que resuelva cualquier inquietud de privacidad. Si bien se ha implementado dicha 'facilidad de uso' , la seguridad por sí sola está disminuyendo en gran medida, muchos desarrolladores web aún no han descubierto este sitio web, por lo que saben mejor.

Otra razón, aunque menos estrictamente relacionada con la seguridad, por la cual los desarrolladores decidieron cambiar el proceso de inicio de sesión, también podría estar planeando expandir su negocio a terceros y al EULA / TOS con el que estaba de acuerdo al registrarse. no cubrió la divulgación de su dirección de correo electrónico a estos terceros. De esta manera, podrían evitar invalidar su propio EULA / TOS y seguir ofreciendo servicios de terceros a una base de usuarios ya existente, identificando a los usuarios de la red por datos no privados.

Sin embargo, tiene razón al dudar de que haya beneficios de seguridad, como se anuncia en esta página SWTOR . Parece bastante extraño cómo pueden reclamar una mayor protección contra posibles tomas de cuenta, cuando un atacante ahora estaría solo a una contraseña para iniciar sesión con éxito como otro usuario, mientras que antes de que el nombre de usuario y la contraseña se agregaran a la entropía de todo el proceso . Ciertamente curioso. Por otra parte, no soy un jugador de SWTOR, lo cual es bastante curioso por sí mismo :)

    
respondido por el TildalWave 06.03.2013 - 01:44
fuente
5

Esto se debe a que las personas usan la misma contraseña cuando no deberían. Si un registrador de claves obtiene su correo electrónico y contraseña de inicio de sesión de SWTOR, no pueden enviar un correo electrónico para verificar la actividad sospechosa, ya que el atacante también puede tener su cuenta de correo electrónico.

El uso de un nombre para mostrar evita que la reutilización de la contraseña provoque que la dirección de correo electrónico también se vea comprometida con la misma facilidad. Esto facilita la recuperación de una cuenta robada, ya que si no tienen acceso a su dirección de correo electrónico, no pueden responder a los correos electrónicos de confirmación que el servicio de atención al cliente de SWTOR le envía.

    
respondido por el AJ Henderson 06.03.2013 - 01:05
fuente
3

Esto varía. Si su nombre de usuario no se muestra y solo usted lo sabe, entonces sí. Por otro lado, si el nombre de usuario es público, creo que el inicio de sesión del correo electrónico es más seguro.

Por ejemplo: la mayoría de las aplicaciones web exponen los nombres de usuario de los usuarios pero no los correos electrónicos. Así que cualquiera puede ver su nombre de usuario pero no el correo electrónico. Así que iniciar sesión a través de su correo electrónico "secreto" sería más seguro.

    
respondido por el Zaffy 06.03.2013 - 01:04
fuente

Lea otras preguntas en las etiquetas