¿Por qué algunos sitios solicitan un nombre de usuario / correo electrónico y una contraseña en dos pantallas separadas? [duplicar]

Desventaja de seguridad / privacidad

Hay riesgos de seguridad y privacidad relacionados con este enfoque cuando se implementa incorrectamente. Un atacante podría averiguar si el correo electrónico o el inicio de sesión ya existen, cuando no tiene un flujo predeterminado. Como se mencionó @Mario Trucco , esto también puede hacerse a través del proceso de registro.

1. La seguridad está en riesgo: debido a que se vuelve más fácil para un atacante hacer fuerza bruta en un sistema. Será más fácil adivinar si solo necesita adivinar una contraseña, en lugar del nombre de usuario y la contraseña.
2. La privacidad de los usuarios está bajo escrutinio. (Otras personas sabrán si está incluido en ese sitio web).

Razones por las que se implementa

Encontré esto en la documentación de Google :

  

Este nuevo flujo de inicio de sesión en la cuenta de Google proporcionará las siguientes ventajas:

     

1. Preparación para futuras soluciones de autenticación que complementen   contraseñas
  
2. Una mejor experiencia para usuarios de SSO de SAML, como estudiantes universitarios o usuarios corporativos que inician sesión con un proveedor de identidad diferente al de Google
  

Ventaja de seguridad

1. Puede habilitar opciones de personalización más personalizadas para la seguridad, como frases o imágenes que brindan más opciones de seguridad (consulte ejemplo a continuación). Esto reduciría el alcance del phishing ya que la pantalla generada sería específica para el usuario y variaría de un usuario a otro.
2. Debido a que los usuarios pueden tener diferentes formas de autenticación y la identidad del usuario es igual al nombre de usuario, esto facilitará que el lado del servidor redirija el tráfico a la forma de autenticación de los usuarios

Imagen de ejemplo   -vLosusuariosven"su" imagen o sonido personal. Si esa imagen no se corresponde con la imagen dada en el registro. Los usuarios saben que este es un inicio de sesión falso.

Las contraseñas no son un requisito para la autenticación en algunos casos.

El nombre de usuario generalmente determina cómo y qué autentica a un usuario; en un inicio de sesión federado, el nombre de usuario identificará al proveedor de identidad que autentificará al usuario. Ese proveedor de ID puede usar una contraseña pero no está obligado a hacerlo; muchos flujos de inicio de sesión alternativos pueden ocurrir de forma pasiva o utilizar otra información (por ejemplo, tarjeta inteligente u otro token de hardware, datos biométricos, etc.)

La captura de una contraseña en estos escenarios lleva al usuario a ingresar los datos (confidenciales) dos veces (ya que Hotmail / Google no necesitan esa información, el proveedor de ID tendría que solicitarla por segunda vez) o ingresar datos que son No es necesario en absoluto.

Las otras respuestas han dado a entender esto, pero no realmente, creo, aclararon los posibles beneficios de seguridad de un inicio de sesión de dos pasos como este.

Hacer las cosas de esta manera le permite separar las etapas de identificación y autenticación del proceso de inicio de sesión. Digamos, por ejemplo, que tiene una aplicación que tiene múltiples niveles de cuenta de usuario con diferentes requisitos de autenticación (por ejemplo, algunos usuarios tienen 2FA, algunos solo tienen autenticación con contraseña) o quizás algo así como un sistema de portal con diferentes bases de datos de usuarios backend.

Al tomar el nombre de usuario en la pantalla uno, puede presentar el tipo de autenticación correcto para ese usuario en la pantalla dos. Como lo mencionó @ludisposed, existe un requisito de tener un flujo "predeterminado" para los usuarios que no existen para evitar revelar nombres de usuario válidos / no válidos a alguien que intente adivinar las cuentas válidas en el sistema.

La razón principal para separar la entrada de nombre de usuario / correo electrónico de la contraseña es la autenticación federada. En muchas aplicaciones web modernas, el inicio de sesión del usuario es manejado por la propia organización del usuario (su empresa o escuela, por ejemplo). El sitio web que está visitando (conocido como Proveedor de servicios) mantendrá una lista de las organizaciones con las que ha establecido la autenticación federada y los dominios utilizados por esas organizaciones. Una vez que haya proporcionado su dirección de correo electrónico, el proveedor de servicios usará el nombre de dominio para determinar la organización y lo enviará al sistema de inicio de sesión de esa organización (conocido como Proveedor de identidad). Usted completa el inicio de sesión en su organización y, a continuación, su organización lo envía de vuelta al sitio web original, con la información de su identidad en forma de cookie de web con mayor frecuencia. Para obtener más información, le recomendaría que investigue SAML y OpenID Connect, que son los dos protocolos más utilizados para esto.

Ofrece condicionalmente diferentes formas de autenticar

Enviar solo su nombre de usuario / dirección de correo electrónico les permite buscar su cuenta y verificar qué opciones de autenticación deben ofrecerle, según la configuración de su cuenta con ellos.

Por ejemplo: si deben solicitar una contraseña, enviar un código de un solo uso por SMS o redirigir su navegador web a la página de autenticación de un servicio de terceros.

Es otra forma de asegurarse de que se comprometa a visitar el sitio web y al iniciar sesión. También es otra forma de asegurarte de que no eres un robot o un script. También es una forma de monitorear la interacción con el inicio de sesión. Todo está vinculado a la privacidad y seguridad