Ayúdeme a resolver una discusión entre colegas y guiar el diseño futuro:
Incluso en un escenario de alto impacto: por ejemplo, Protección de la aplicación de pago o la pasarela del gobierno, pero en una aplicación accesible a través de Internet
Vale la pena implementar alguna de las siguientes (u otras) medidas para proteger un nombre de usuario:
-
Se requiere un nombre de usuario complejo generado por el sistema como puerta de enlace del gobierno del Reino Unido o banca en línea de HSBC ? ¿El compromiso en términos de usuarios se olvida de esto, es necesario anotarlo, el tráfico adicional del centro de llamadas, los usuarios que tienen que hacer un recordatorio de nombre de usuario de autoservicio, vale la pena frente al riesgo de usar un nombre de usuario público como la dirección de correo electrónico o el número de teléfono móvil? p>
-
Proporcionando un mensaje genérico: "su nombre de usuario o contraseña fueron incorrectos" en lugar de ser más fáciles de usar "su nombre de usuario no fue reconocido" y "su contraseña fue incorrecta"
-
Usando el siguiente tipo de secuencia de inicio de sesión donde se usa una clave de sitio o una contraseña personal seleccionada por el usuario para ayudar a identificar los sitios de phishing:
- Introduzca el nombre de usuario y el valor secreto simple (por ejemplo, código postal)
- Si no son válidos, se les proporciona un error: el nombre de usuario o el valor son incorrectos
- Si son válidos, la imagen de la clave del sitio personal del usuario se muestra y se solicita la contraseña
- Si la contraseña no es válida, mensaje de error contraseña incorrecta
- Si se concedió acceso válido
A diferencia de la forma más amigable en Quora.com donde se le muestra su foto en la entrada correcta de nombre de usuario. ¿Es aceptable solo en sitios de Q & amp A de bajo riesgo?
Mis colegas abogan por mantener los nombres de usuario en secreto y las medidas de tipo anteriores:
- La enumeración de nombre de usuario en masa le permite probar los intentos de diccionario y de fuerza bruta en un sitio
- le permite administrar un sitio bloqueando todas las cuentas donde está habilitado el bloqueo de la cuenta
- A los usuarios les gusta usar el mismo nombre de usuario y contraseña en todos los sitios, y muchos sitios usan la dirección de correo electrónico y el número de teléfono móvil para sus sitios. Si los usuarios comparten credenciales entre sitios, entonces las credenciales podrían ser robadas o falsificadas de otros sitios y luego usarse para acceder a su sitio.
- Los datos conocidos públicamente, como el teléfono móvil y el correo electrónico, no cuentan para la fortaleza de la autenticación. Si el nombre de usuario es un hecho conocido, para mantener el mismo nivel de seguridad, la contraseña debe ser significativamente más fuerte para compensar la diferencia estadística, por ejemplo. Si el nombre de usuario y la contraseña tienen un mínimo de 6 caracteres, asumiendo que son 52 caracteres posibles, tenemos 52 ^ 12 combinaciones. Sin embargo, si el nombre de usuario es un hecho conocido, eso se convierte en solo 52 ^ 6 combinaciones; tiene que aumentar la contraseña a 12 caracteres como mínimo para obtener el mismo nivel de protección; si no lo hace, aumentará el riesgo de adquisición de la cuenta.
Yo contrarresto cada uno:
- Su control real contra esto es la política de longitud, complejidad y bloqueo de la contraseña
- Puede mitigar esto teniendo un desbloqueo automático después de un período de tiempo (por ejemplo, 5 a 30 minutos), una función de desbloqueo en masa, un retroceso exponencial o una prohibición de IP durante un período de tiempo después de varios intentos incorrectos, selectivo controles anti-automatizados (por ejemplo, Captcha, Roboo script) mostrados después de varios intentos fallidos
- La educación del usuario, un segundo factor de autenticación, la autenticación adaptativa (por ejemplo, la autenticación gradual o graduada basada en la identificación del dispositivo, la ubicación, etc.) serían mejores defensas contra esto
- Veo el nombre de usuario como identidad y la contraseña como autenticación. Si desea una autenticación más fuerte, haga que la contraseña sea más larga o que requiera 2 contraseñas: deje la identificación sola
Feliz de aprender y cambiar mi posición. Gracias de antemano.