¿Los inicios de sesión con pulsaciones de botón son más seguros que los inicios de sesión normales?

Question

¿Los inicios de sesión con pulsaciones de botón son más seguros que los inicios de sesión normales?

#1 de Mindaugas Bernatavičius (8 votos)
#2 de Gartral (1 votos)
#3 de Hector (0 votos)
#4 de elsadek (0 votos)

6

Recientemente me mudé a Francia y tuve que encontrar un nuevo proveedor de servicios móviles, y me decidí por Free Mobile . Su página de inicio de sesión presenta un inicio de sesión con botón pulsado para el "identifiant" (nombre de usuario) y un campo de formulario normal para la contraseña.

Después de depurar un poco, parece que el campo de formulario oculto para el nombre de usuario es una matriz de 0-10 de los índices de los botones reales, que están activados por JavaScript. Así que no importa el orden (aleatorio) de los números en los botones, el button index es lo que se registra en la entrada. Me imagino que la matriz de índice a botón real se almacena en el servidor (a menos que esté en JavaScript, no soy tan bueno, ¿en qué caso, wow seguridad por oscuridad?).

Larga historia, ¿es este método de inicio de sesión más seguro? Para mí, no lo parece, y es so molesto porque no funciona con mi administrador de contraseñas.

Me pregunto por qué ciertos sitios web implementan este tipo de inicio de sesión, porque solo hace que mi vida sea un poco más difícil (y honestamente, menos segura ya que tengo una copia de mi nombre de usuario en mi computadora). ¿Es realmente más seguro, la misma seguridad que un inicio de sesión basado en formularios normal, o menos seguro, y por qué?

authentication captcha

pregunta Chris Cirefice 13.01.2018 - 20:30

fuente

4 respuestas

1

Esto parece ser un caso clásico de "No queremos que los sistemas automatizados inicien sesión en nuestro sitio, por lo que creamos una BSB (Big Stupid Barrier) para asegurarnos de que solo un humano (o un bot suficientemente programado) pueda obtener en". Esto, como han señalado otros, sacrifica la seguridad adecuada por la seguridad asumida al ser altamente oscuro, inutilizable y molesto, como para su administrador de contraseñas, también está fallando al poner los datos correctos porque el BSB está haciendo su trabajo hasta cierto punto (Evitando la automatización de llenar) pero su corazonada es correcta, en realidad es menos segura.

¡Me pregunto qué tan deprimente es la seguridad de su backend que ponen un BSB en la parte delantera!

respondido por el Gartral 14.01.2018 - 22:29

fuente

0

Desde una perspectiva de seguridad, la única ventaja potencial que puedo ver es la protección contra los keyloggers. Pero dado que esto es para el nombre de usuario que normalmente se considera información pública, diría que esto realmente no se aplica.

Habiendo echado un vistazo al sitio personalmente, realmente no entiendo el punto.

respondido por el Hector 13.01.2018 - 20:41

fuente

0

La visualización de los botones de dígitos en orden diferente cada vez que se actualiza la página recuerda la forma en que Captcha protege los formularios web de los robots.

Como se mencionó en la otra respuesta, esto es muy probablemente para la comodidad del usuario, que se ve más inteligente que un Captcha "clásico" debajo del formulario.

respondido por el elsadek 14.01.2018 - 00:35

fuente

Lea otras preguntas en las etiquetas authentication captcha

¿Qué tan exactamente puede decirle su ISP que está usando Tor? Determine la versión SSL / TLS usando Wireshark

score 8 · Accepted Answer

Casi ha respondido a su pregunta usted mismo, podría intentar justificar por qué es realmente menos seguro que los formularios de inicio de sesión regulares.

Larga historia, ¿es este método de inicio de sesión más seguro? Para mi, no parece ser así, y es tan molesto dado que no funciona con mi administrador de contraseñas .

Hay una regla, formulada en security.stackexchange:

La seguridad a expensas de la usabilidad se produce a expensas de la seguridad.

Consulte aquí .

Llamado: Regla de usabilidad de AviD, o cómo la llamo: seguridad por inutilidad. Básicamente significa que tan pronto como disminuya la capacidad de uso de la medida de seguridad, la seguridad en sí disminuirá. Podemos ver muchos de estos "inventos" en el mundo del software:

no está permitido "pegar" en el campo de contraseña / nombre de usuario. Me burlé de ello en mi tweet: enlace Usted También puede leer la publicación del blog de Troy Hunts en eso: enlace
limitaciones locas en la longitud de la contraseña;
requisitos estrictos sobre símbolos especiales y negligencia simultánea en la longitud de la contraseña (incentivo para no usar contraseñas largas y memorables).