He notado que muchos sitios web van a un sistema de inicio de sesión de dos páginas ( no de dos factores), donde ingresas tu nombre de usuario en la página 1 y haces clic en enviar , y luego ingrese su contraseña en la página dos y haga clic en enviar .
¿Cuáles son los beneficios de hacer esto frente a tener un nombre de usuario y una contraseña en una página y hacer clic en enviar ? ¿Es solo para evitar que las contraseñas de accidentalmente se incluyan en el campo de nombre de usuario?
He visto esto usado en sistemas como SiteKey que algunos bancos usan en sitios web. La idea aquí es que una vez que el usuario se ha identificado en la página uno al ingresar un nombre de usuario, la aplicación proporciona cierta información (en el caso de SiteKey, una imagen y una frase elegidas por el usuario durante la inscripción), lo que pretende asegurar al usuario que están en el sitio correcto antes de ingresar su contraseña.
Es discutible si esto tiene beneficios reales de seguridad contra atacantes estándar (es decir, podría ser posible que los atacantes actúen como un Hombre en el medio y transmitan el nombre de usuario al sitio, recuperen la imagen y muestren esto a la usuario)
Desde una perspectiva puramente funcional, el sistema de 2 páginas a veces permite el descubrimiento del reino de la casa (donde el usuario tiene cuentas en más de un sistema)
Por ejemplo, Microsoft tiene algo que se llama la cuenta de Microsoft y la cuenta de organización. La función de nombre de usuario permite a HRD redirigir al servidor de autenticación correcto. Esta función está activa y activa para todos los sitios de Azure, O365 y relacionados.
Para aclaraciones:
LiveID, o Passport ahora se conoce como la Cuenta de Microsoft
Azure Active Directory, Office 365, WAAD y posiblemente ADFS usan "Cuentas de organización"
Es posible tener una cuenta en la forma de [email protected] en uno o ambos directorios. Puede probar la presencia de una cuenta en uno u otro directorio marcando el JSON disponible aquí
https://login.microsoftonline.com/[email protected]
o
http://odc.officeapps.live.com/odc/emailhrd/getidp?hm=0&emailAddress=USER%COMPANY.com
Otro beneficio es que los usuarios pueden encontrar fácilmente un formulario de inicio de sesión si tiene un campo de ingreso de nombre de usuario en la página principal, entre todos los anuncios, enlaces y otro contenido. Luego, cuando envían su nombre de usuario, la contraseña generalmente se ingresa en una página muy simple con solo un campo de contraseña.
Siempre busco el ícono del candado en general, pero me hace sentir un poco menos seguro si ingreso una contraseña junto con un montón de guiones de anuncios y otras posibles superficies de ataque. Por lo tanto, dividir el inicio de sesión así podría agregar un poco de seguridad al reducir la posible superficie de ataque para agarrar una contraseña. Por lo menos da esa percepción.
Por supuesto, la mejor solución podría ser proporcionar una página de inicio de sesión dedicada separada que solicite tanto el nombre de usuario como la contraseña y simplemente tener un gran botón de INICIAR SESIÓN en la página de inicio que lo lleve allí.
Lea otras preguntas en las etiquetas web-application passwords authentication user-names