¿Cómo se llama este método / enfoque de autenticación?

Navega tus respuestas
32

Antecedentes: quiero implementar algo como esto en nuestros sitios web, y estoy buscando consejos y posiblemente APIs que permitan esto fuera de la caja en lugar de reinventar la rueda, pero ni siquiera puedo averiguar el Términos de búsqueda correctos.

Como se ve en mi cuenta bancaria:

  • Cuando me registré, me pidieron que escogiera una frase que recordaría
  • Ahora, cuando inicio sesión en mi sitio web, el proceso es el siguiente:
    • Ingreso mi nombre de usuario y hago clic en "siguiente".
    • El sitio del banco me muestra esta frase. Esto me ayuda a estar seguro de que realmente estoy en el sitio de mi banco y no de un sitio falso configurado para robar mis credenciales de inicio de sesión.
    • Si la frase de contraseña coincide, ingreso mi contraseña para completar el proceso de autenticación.
    • Si la contraseña no coincide, sé que ingresé mi nombre de usuario de manera incorrecta o que estoy en un sitio de phishing, y regreso a la página de inicio de mi banco y comienzo de nuevo.

En mi opinión, esto suena como "autenticación de varios pasos". Sin embargo, cuando busco eso, sigo obteniendo resultados para la autenticación de múltiples factores: la autenticación mediante un token o la autenticación de dos pasos implementado por Google y otros sitios. Si bien soy un gran defensor de la autenticación de múltiples factores con tokens o códigos enviados a su dispositivo móvil, también quiero averiguar cómo hacer lo que está haciendo mi banco.

¿Hay un nombre o término para este patrón de autenticación?

    
pregunta David Stratton 02.01.2013 - 15:20
fuente

3 respuestas

25

SiteKey es el nombre de la función que muchos bancos llaman y debería poder buscarse con ese nombre. Se agrega mínimo si hay alguna seguridad. Cualquier cosa que su servidor pueda presentar al usuario, un hombre en el medio puede actuar como si fuera el cliente y obtener la misma información. SiteKey (que probablemente sea como lo llama su banco) no es seguro y no agrega seguridad significativa.

En realidad, puede ser perjudicial, ya que puede dar a los usuarios una falsa sensación de seguridad y hacer que ignoren otros indicadores buenos, como los indicadores SSL, porque la imagen o frase "segura" está ahí. Mi recomendación general es no usar mecanismos defectuosos, ya que pueden hacer más daño que beneficio.

    
respondido por el AJ Henderson 02.01.2013 - 17:23
fuente
24

Se llama autenticación basada en el conocimiento y se usa para autenticar el servidor remoto. Los tokens de autenticación comunes son palabras e imágenes.

Un punto que señalaría es que es una mala idea entregar el token de autenticación solo después de haber recibido información no secreta, como un nombre de usuario. Un atacante podría apuntar a un solo usuario simplemente colocando su nombre de usuario en la página, o incluso a través de un iframe o un mecanismo de captura remota similar. En su lugar, es mejor pedirle al usuario que proporcione un token de autenticación débil (por ejemplo, un pin de 4 dígitos), luego proporcionar el secreto y luego pedir el token de autenticación fuerte (por ejemplo, la contraseña). Esto hace que el mecanismo sea mucho más seguro.

    
respondido por el Polynomial 02.01.2013 - 15:26
fuente
2

Se llama SiteKey. Pero recientemente, un estudio de Harvard encontró que SiteKey 97% no es efectivo. SiteKey es susceptible al ataque del hombre en el medio. SiteKey ofrece una falsa sensación de seguridad. Le aconsejaría que vaya a autenticación de doble factor , que es la autenticación en el sentido real.

    
respondido por el Mildred Tinney 12.02.2013 - 12:09
fuente

Lea otras preguntas en las etiquetas

¿Se pueden ver las URL durante las transacciones HTTPS a uno o más sitios web desde una única IP? Windows 10: no se encuentra la configuración de Kerberos