2段階ログインする理由は何ですか？ （1ページ目のユーザー名、2ページ目のパスワード。）

あなたがより安全であると説明している2つのステップのログインを見た唯一の理由は、最初のページで入力されたユーザー名が、ユーザーが登録時に選択する何らかの画像またはフレーズと一致する場合です。これは、サイトが自身を検証するのに役立ちます。

誰かがあなたのサイトをコピーしてフィッシングキャンペーンで使用すると、画像やフレーズを表示できなくなります。ユーザーがパスワードを入力するときにユーザーを保護します。

追加のアカウントセキュリティ項目を最初のページから2番目のページにプルアップしていない場合、そのようにするのはあまり意味がありません。

私が思いつく唯一の理由は、自動化された攻撃を防ぐことです。

ユーザー名とパスワードの両方が1つのページで受け入れられる場合、明白な理由で「ブルートフォース」攻撃と呼ばれる、何かが通り抜けるまでユーザー名とパスワードの組み合わせでそのページをハンマーで打つ自動スクリプトを作成するのは比較的簡単です。

ユーザー名をあるページに入力し、パスワードを別のページに入力すると、この種の攻撃はより困難になりますが、不可能ではありません。それは単純な攻撃者を排除するという素晴らしい仕事をし、あなたを大部分のサイトより先に置くでしょう。

あなたは隣人よりも技術的に安全ではありませんが、あなたはもはや控えめな果物の1つではありません。

これは奇妙なケースですが、メインサイトが暗号化されずに提供される場合（おそらくパフォーマンス上の理由）、ユーザーが「ログイン」リンクをクリックする代わりにそのページからログインプロセスを開始できるようにする必要があります。暗号化せずにユーザー名を送信することは大したことではないため、ログインページの2番目の部分（パスワードフィールド）をHTTPS経由で提供できます。

おそらくそれは価値がないと思います（プログラマーの仕事が増え、ユーザーの仕事が増え、プロセッサーの作業負荷がわずかに減少します）が、価値があると考える人もいるかもしれません。

例： First National は、ホームページでこれを行います。

私はそれに関するこの古いドキュメント、 http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html しか見つけることができませんでした。長い話で言えば、米国の銀行とクレジットカード会社は、ウェブサイトのログインフォームに2要素認証を使用する必要があると思います。

投稿で説明されているように、それは実際に問題を解決するものではなく、犯罪者にもう1つのやりがいを持たせるだけです。

別のページでユーザー名とパスワードを受け入れても、アプリケーションの安全性はまったく向上しません。どのウェブサイトでこれに遭遇したのか知りたいですか？

私の銀行は、2段階認証を使用する非常に正当な理由を見つけました。私が知っているユーザー認証の3つの方法があります。

• 企業向け暗号カード
• プライベートアカウント用の暗号カード（異なる種類のカード！）
• パスワードのみの認証

彼らは2段階ログインを使用しているので、彼らはあなたが持っているアカウントの種類を知っているので、パスワードを入力する際に​​何らかの支援を提供できます。パスワードを入力する必要がある場合は、パスワードを尋ねられます。暗号カードを使用して一意の認証コードを生成する必要がある場合、コードを要求し、カードの種類に固有のヘルプリンクを提供します。

安全性が低下すると思います。これは、user123がサイトにアカウントを持っていることを知ることができ、そのアカウントに対してブルートフォースを実行できるためです。

標準的な方法は、アカウントまたはパスワードが間違っているかどうかを他人に知らせないことです。「間違ったユーザー名またはパスワードを入力しました」

総当たり攻撃をはるかに困難にします。