¿Cuál sería un riesgo de seguridad para una función del sitio web que le permite conectarse a su cuenta sin ingresar su contraseña, dado que permitió dicho inicio de sesión durante los próximos 10 segundos a partir de un segundo seguro? dispositivo tuyo.
Un caso de uso simple es que está intentando iniciar sesión desde una PC no segura. No desea que los keyloggers accedan a sus pulsaciones de teclado, pero aún necesita obtener acceso a su cuenta en esa ubicación insegura.
Los atacantes saben todo acerca de la automatización . Diez segundos son mucho tiempo para un atacante que sabe escribir guiones. En su escenario, si la PC insegura es maliciosa, puede usar esta ventana muy pequeña para representar un gran daño: al contrario de un usuario humano, el atacante no está limitado a la velocidad con la que puede mover un mouse.
Supongo que desea iniciar sesión con su teléfono inteligente y, desde ese teléfono inteligente, permitir el acceso a su cuenta durante "diez segundos" desde la PC posiblemente maliciosa; la idea es que no desea escribir su valiosa contraseña en esa PC. De hecho, este será beneficioso para usted si asume que la PC simplemente toma las contraseñas de forma pasiva, pero no se conectará activamente a ningún sitio web que desee usar. Sin embargo, no se puede confiar en que todos los atacantes sean tan educados.
Otra solución similar, pero mucho más común y robusta, es utilizar contraseñas de un solo uso . En lugar de abrir sus cuentas a todo el mundo, aunque sea por poco tiempo, use una contraseña que funcione solo una vez. Los registradores clave pueden registrarlo, no importará, ya que el servidor no aceptará cada contraseña más de una vez. Aún tiene todos los problemas con una PC insegura maliciosamente activa : una vez que acepta usar la máquina del tipo malo, prácticamente le está dando acceso a su cuenta durante al menos los pocos segundos que la está utilizando. , y eso es suficiente para renunciar a su seguridad.
La mejor opción es generar una contraseña temporal que se pueda usar en el dispositivo secundario. Haga una contraseña de uso único que sea válida de 5 a 30 minutos. Cualquier momento que quede sin asegurar podría ser explotado, particularmente si son capaces de monitorear la IP de una conexión y así hacer una conjetura sobre el usuario.
Lea otras preguntas en las etiquetas web-application authentication