¿Por qué algunos sitios web necesitan tiempo para iniciar sesión de forma segura, mientras que otros pueden hacerlo al instante?

4

Noté que en una gran cantidad de sitios web relacionados con el dinero (bancos, paypal, etc.), se le lleva a una página que "lo registra de forma segura". Este es un ejemplo de uno:

Mientras tanto, los sitios web que también almacenan información muy confidencial , como google wallet, facebook, etc. (todos los cuales usan SSL), no usan esta página. ¿Cuál es la ventaja de esto y por qué solo se utiliza en algunos sitios web?

    
pregunta Jon 16.04.2014 - 02:46
fuente

3 respuestas

2

Como han señalado otros, una gran parte de la función de la pantalla de inicio es asegurarse de que el usuario vea la palabra "de forma segura" y tenga la impresión de que "algo se hace con respecto a la seguridad". Los mejores sistemas de seguridad son invisibles (cuando no ve nada y el negocio continúa sin impedimentos, entonces los sistemas de seguridad son óptimos), pero el público en general no lo sabe; el público espera que la seguridad suceda de manera espectacular. En lo profundo de su mente, los usuarios no se sorprenderían si el uso de un "sitio web seguro" hace que todas las luces de la habitación se vuelvan rojas, como en un submarino.

En este caso, el efecto psicológico también puede estar dirigido al gerente del banco: pagó por un "sitio web seguro", por lo que quiere ver que suceda algo de seguridad. Esa especie de hombres de negocios sin sentido con un conocimiento limitado de la tecnología aún prevalece en las capas superiores de la administración.

Existen algunas razones "racionales" que pueden explicar un retraso. No son probables; La mayoría de los sitios con retraso todavía lo hacen solo para el teatro de seguridad. Pero podrían aplicarse en algunos casos:

  • El retraso puede deberse al inicio en segundo plano de algún applet (Java, Silverlight, ActiveX ...) que tiene un proceso de inicialización lento e intenta hacer algo de "seguridad adicional" de alguna manera (como el sistema será necesario si se utilizan firmas del lado del cliente).

  • La verificación de una contraseña de usuario puede implicar un esfuerzo informático no despreciable si se utiliza el hashing de contraseña adecuado . Esto puede implicar cierta demora, especialmente si se usa "alivio del servidor": la mayor parte del hashing se puede hacer del lado del cliente, de modo que el servidor pueda manejar cientos de clientes sin esfuerzo. En ese caso, el hash continúa a la velocidad del cliente (Javascript ...), por lo que esto puede demorar unos segundos.

  • El servidor puede querer evitar ataques de diccionario imponiendo un retraso de unos pocos segundos entre dos Solicitudes desde la misma IP y / o para la misma cuenta. Este retraso puede hacerse intrínseco si se utiliza un sistema de prueba de trabajo (pero, nuevamente, Javascript no ayuda).

  • El retraso puede ser necesario para que el servidor abra los túneles a un grupo de sistemas heredados antiguos donde realmente se encuentran los datos bancarios. El software bancario debe cumplir estrictamente con una gran cantidad de reglas, que abarcan tanto el comportamiento real del código (en particular los problemas de redondeo) como la metodología de desarrollo (auditoría independiente línea por línea, etc.); la consecuencia es que dicho software no se crea a menudo, y los sistemas antiguos tienden a quedarse mucho tiempo. Lo último que escuché es que muchos bancos siguen usando OS / 2 . Convencer a todos estos sistemas para que enciendan y encuentren los datos de algunos usuarios puede tardar unos segundos ... Si el sistema va a ser lento, ¿qué mejor excusa que afirmar que es "por seguridad"?

respondido por el Tom Leek 16.04.2014 - 13:20
fuente
4

Teatro de seguridad

Esta pantalla de presentación no es necesaria para el usuario, pero la compañía eligió introducir una pantalla de presentación que muestra que piensan que la seguridad es importante y que están supuestamente alejados "haciendo" seguridad.

Lo único bueno aquí es que piensan que la seguridad es importante para ellos y para sus clientes.

El aumento de la seguridad (ssl / https) ya debería estar implementado en esta etapa de todos modos.

Si su proceso de inicio de sesión es lento, es un asunto diferente, pero esta pantalla de spash intersticial puede mejorar la experiencia del usuario.

Explicación alternativa:

Podrían estar interrogando una base de datos de contraseñas de back-end en sus sistemas mainframe. Los bancos tienen sistemas viejos con limitaciones interesantes.

    
respondido por el Andrew Russell 16.04.2014 - 07:10
fuente
0

Bien podría estar equivocado, pero sospecho que esto es solo un camuflaje para algún otro proceso que sea lento. La configuración de una conexión SSL, como se observa, suele ser muy rápida. Por ejemplo, TurboTax hace exactamente lo que usted describe, pero realmente creo que solo están presentando algo factible para el público en general cuando realizan la autenticación y recuperan los detalles de la cuenta.

En realidad no es falso : realmente están configurando la conexión, pero creo que es un poco engañoso: la clave SSL de 2048 bits en www.paypal.com no ofrece más protección criptográfica que la clave SSL de 2048 bits utilizada en www.facebook.com.

    
respondido por el Dave Mulligan 16.04.2014 - 06:58
fuente

Lea otras preguntas en las etiquetas