Security 康卡斯特';s两步登录
Comcast更改了他们的登录过程,因此分两步进行。您首先提交用户名,而不是用户名和密码的两个输入框。然后在第二页输入密码 由于最近的安全问题 改进,我们现在要求您 在中输入您的用户名和密码 两个独立的步骤 该系统中的安全改进可能是什么?如果有什么不安全的地方,因为你可以独立于用户名的密码来确认用户名的存在Security 康卡斯特';s两步登录,security,Security,Comcast更改了他们的登录过程,因此分两步进行。您首先提交用户名,而不是用户名和密码的两个输入框。然后在第二页输入密码 由于最近的安全问题 改进,我们现在要求您 在中输入您的用户名和密码 两个独立的步骤 该系统中的安全改进可能是什么?如果有什么不安全的地方,因为你可以独立于用户名的密码来确认用户名的存在 对他们在这里的成就有什么想法吗 简单地说,当您登录到我帐户的更安全的区域时,您需要重新输入密码,而不是使用“记住我”功能,因此,如果有人进入计算机,他们所能做的就是通过正常会话访问电子邮件
对他们在这里的成就有什么想法吗 简单地说,当您登录到我帐户的更安全的区域时,您需要重新输入密码,而不是使用“记住我”功能,因此,如果有人进入计算机,他们所能做的就是通过正常会话访问电子邮件。雅虎也这样做。不确定康卡斯特是否也在做同样的事情,但我知道我最近使用的许多银行网站开始做以下工作:
- 提示您输入用户名
- 查找在帐户创建时指定的图像和字符串
- 显示该图像+字符串以及密码框
这里有什么好处?我也看不到,因为攻击者的脚本只能从真实登录页面中查找图像和字符串。也许这会让哑巴感到更安全。奇怪的是,在密码页面上,他们需要的是你的电子邮件和密码,而不是用户名 用户名不是秘密,因为你可能在你的邮件地址中使用它 他们仍然允许你“保持登录状态” 所以实际上,我不认为有真正的安全好处
如果您将第二个登录页面添加书签,您可以直接进入该页面。…我猜他们的目标是特定的网络钓鱼/密钥记录软件,该软件“用于”在同一页面上查找所有登录信息。这使得一些恶意软件的工作变得更加困难
如果您使用许多浏览器的“自动填写我的表单”功能,这也会在浏览器的数据存储中将登录信息分为两个单独的条目,这同样会使任何试图利用此功能的软件更加困难。不确定他们为什么会这样做,但是你有没有测试过可能不存在的随机用户名?如果他们在第一步接受任何用户名,并且只在收到用户名和密码后才给出错误,那么他们不必确认此处是否存在用户名。(你通常可以尝试创建一个新帐户来检查用户名,只要有可能,在这里甚至不值得阻止。)我尝试了一个不存在的用户名,他们马上就回来了,“丢失或无效信息”,我注意到越来越多的网站在做这种练习。我认为更多的是挫败基于浏览器的密码管理者。通过让哑巴感到更安全,银行或上述公司能得到什么?这难道不是作弊吗?也许他们觉得如果人们不相信它有安全功能,他们就不会使用它。可能是相反的,让聪明的人感到愚蠢,让他们怀疑有一些隐藏的安全功能,他们愚蠢到无法理解。