¿Necesita un pin en lugar de una contraseña para los sitios web?

Navega tus respuestas
0

Es curioso si esta podría ser una buena alternativa a las contraseñas. En un sitio web, el usuario puede elegir usar un pin en lugar de una contraseña. Si ella elige hacer esto (opción dada) a partir de ese momento, su cuenta le pedirá solo un pin, y a través de la ventana emergente de Javascript.

Para los usuarios que no les gusta habilitar Javascript, podría ser bueno tener una contraseña como de costumbre.

La ventana emergente también puede ser buena, ya que es más difícil hacer un registro de teclas, si le presentamos al usuario los números en pantalla (como en Lastpass o iPhone). Incluso podemos arrastrar como en Android.

¿Crees que es una buena idea ofrecer ambos? ¿Hay algo que mejorarías o cambiarías sobre la idea?

    
pregunta user258613 15.09.2014 - 02:19
fuente

1 respuesta

4

No creo que esta sea una gran idea, especialmente como alternativa a una contraseña (en lugar de una contraseña):

  • Un pin de 4 dígitos por sí solo podría ser forzado brutalmente en unos 100 días, incluso si tuvieras un bloqueo de 15 minutos por intentos de contraseña incorrectos.
  • Ingresar 4 dígitos a través de su mouse en una pantalla probablemente sea más lento para la mayoría de las personas que ingresar su contraseña a través de su teclado (que están acostumbrados a escribir)
  • Es muy probable que las personas usen alguna permutación de su año de nacimiento o código postal como su pin

Para hacer esto seguro, un usuario todavía tendría que iniciar sesión normalmente desde cada máquina, lo que establece una cookie de caducidad larga y, cada vez que el usuario vuelve al sitio, debe ingresar un pin que establece una cookie más corta. En realidad, esto solo los protege de que otra persona use su computadora mientras el usuario todavía está conectado a través de una cookie a largo plazo.

Dependiendo de sus objetivos, sugiero lo siguiente:

  • Si su objetivo es una autenticación más fuerte, le sugiero que use una autenticación multifactorial
  • Si su objetivo es facilitar el inicio de sesión de los usuarios, pero no desea utilizar una cookie más larga, recuerde su nombre de usuario y no su contraseña (los usuarios pueden escribir su contraseña con bastante rapidez)
  • Si su objetivo es evitar que otras personas husmeen en la computadora de un usuario, es mejor que se dirija al usuario finalizando la sesión cuando dejan su máquina.
respondido por el thexacre 15.09.2014 - 02:42
fuente

Lea otras preguntas en las etiquetas

¿Cómo estar seguro de que el archivo descargado es correcto? [duplicar] la contraseña se emparejó con mi dirección de gmail