¿Existe alguna ventaja para solicitar la misma información si falla la autenticación?

1

Los sitios web financieros (bancos, agencias de informes de crédito, etc.) a menudo utilizan dos etapas para autenticarlo:

  • Identificador (número de cuenta, correo electrónico, etc.)
  • Dos caracteres de una palabra memorable

Me he dado cuenta de que si no me autentico correctamente (caracteres incorrectos, error del sitio web), estos sitios web solicitan la combinación exactamente igual de caracteres de su palabra memorable.

El hecho de que esta política parezca ser un indicio generalizado de que esto tiene algún beneficio de seguridad.

¿Cuáles serían esos beneficios para la seguridad (ya que no puedo pensar en ninguno)?

    
pregunta cybermonkey 14.12.2017 - 02:34
fuente

1 respuesta

4

Evita el ataque de repetición. Si el atacante logra interceptar la palabra memorable parcial de una serie de interacciones previas, el atacante simplemente puede actualizar la página hasta que se le pregunte la parte de la palabra memorable que conoce. Fijar la parte de la palabra memorable evita que el atacante lo haga.

Tenga en cuenta que esto es simplemente la implementación de OTP de un hombre pobre. Una mejor implementación para evitar ataques de repetición es usar un token de hardware, un mensaje de texto o una aplicación TOTP compatible con RFC 6238 como Google Authenticator.

    
respondido por el Lie Ryan 14.12.2017 - 02:50
fuente

Lea otras preguntas en las etiquetas