Votaciones en línea donde los códigos de dos partes se envían juntos

Navega tus respuestas
7

Muchas de las sociedades de las que soy miembro permiten la votación en línea para sus AGM (para elegir miembros, aprobar actas, etc.). Para votar en estos, a todos los miembros se les envía un código de dos partes, sin embargo, los dos códigos siempre se envían juntos, ya sea en un correo electrónico o en una carta.

De la forma en que lo veo, las dos partes del código deben enviarse idealmente a través de diferentes canales (por ejemplo, una parte por correo electrónico, una parte por carta) o al menos en diferentes momentos (por ejemplo, dos correos electrónicos enviados en días diferentes). Me doy cuenta de que esto haría las cosas un poco más difíciles para el votante (perder uno de los códigos, tener que esperar el segundo código antes de votar), pero ¿cuál es el punto de enviar dos códigos juntos? ¿Por qué no solo emitir un solo código para ser utilizado?

Los códigos que recibo a menudo tienen el formato: 

Code 1: 12345678
Code 2: abcd
    
pregunta Eborbob 24.03.2016 - 15:22
fuente

2 respuestas

1

También he recibido correos similares de dos códigos para varias elecciones. La misma preocupación me golpeó, así que los miré más de cerca.

Una cosa que me llamó la atención es que las mismas compañías albergan miles de elecciones. Así que aquí hay más cosas que una simple elección.

Por coherencia y marca, los sitios de votación están personalizados para la organización, por lo que cada año para mi Coop, inicio sesión en la misma URL, como enlace y emitir mi voto. Por lo que puedo decir, la URL simplemente determina el CSS que se muestra para que aparezcan los logotipos y colores correctos; pero debajo del mismo sitio web exacto se encuentran todos sus clientes y elecciones.

A partir de esto, tenía sentido que el primer código identificara la elección específica ("2018 My Coop Board of Trustees", "2017 My Coop Board of Trustees", etc.), y el otro me identificó como el votante. Si es verdad, esto no es una autenticación de dos factores, es simplemente un par de identificadores.

Como recuerdo, fueron nombrados como algo genérico, como "Código 1" y "Código 2" en lugar de "Número de elección" e "Identificación del votante". Esto puede estar destinado a mantener las cosas oscuras; para evitar que la gente intente votar en otras elecciones o intente adivinar la identificación de votante de otra persona.

¿Podrían hacer esto de manera diferente, como combinar los dos y emitir un número hash SHA-1 gigante para que yo ingrese? Sí, pero la facilidad de escribir un número muy largo es difícil, y están tratando de mantener alta tanto la facilidad de uso como la integridad: dos números más cortos son más fáciles de escribir y probablemente resuelvan sus problemas por ellos.

    
respondido por el John Deters 05.01.2018 - 19:38
fuente
0

Creo que tu pregunta es: "si están enviando 2 códigos a la vez, ¿por qué no enviar solo un código?"

Si tuviera que emitir la autenticación de 2 códigos, lo haría bajo el supuesto de que un tránsito está comprometido pero, por lo tanto, es inútil para la persona con solo la mitad del código. Al enviarlos al mismo tiempo, a través de los mismos medios, anulan esa medida de seguridad. Casi suena como si estuvieran tratando de hacer una autenticación barata de 2 factores. Pero en realidad no es un segundo factor, es un segundo uso de un factor.

TBH Realmente no puedo pensar en una razón para hacerlo de esta manera. Es lo peor de ambos mundos: incómodo y no más seguro.

    
respondido por el baldPrussian 06.11.2017 - 17:22
fuente

Lea otras preguntas en las etiquetas

¿Se conocen claves AES-CBC o combinaciones de teclas IV intrínsecamente inseguras por los valores aleatorios generados correctamente? ¿Cuáles son los riesgos de seguridad de usar complementos en Google Docs / Spreadsheets?