Quelle est cette méthode / approche d'authentification?
Contexte: Je veux mettre en œuvre quelque chose comme celui-ci sur nos sites Web, et je cherche des conseils et éventuellement des API qui la permettent de sortir de la boîte plutôt que de réinventer la roue, mais je ne peux même pas comprendre les bons termes de recherche .
Comme on le voit sur mon compte bancaire:
- Quand je me suis inscrit, on m'a demandé de choisir une phrase que je me souviendrais
- Maintenant, lorsque je me connecte à mon site Web, le processus est comme suit: [.____]
- J'entre mon nom d'utilisateur et cliquez sur "Suivant".
- Le site de la banque me montre cette phrase. Cela m'aide à être assuré que je suis en fait sur le site de ma banque, et non un faux site configuré pour voler mes informations d'identification de connexion.
- Si la phrase passe correspond à mon mot de passe pour terminer le processus d'authentification.
- Si la phrase de passe ne correspond pas, je sais que soit je suis entré dans mon nom d'utilisateur mal ou je suis sur un site de phishing, et je retourne à la page d'accueil de ma banque et recommencez.
Dans mon esprit, cela ressemble à une "authentification multi-étapes". Cependant, lorsque je recherche cela, je continue à obtenir des résultats pour l'authentification multi-facteurs - Authentification à l'aide d'un jeton ou d'une authentification en deux étapes tel que mis en œuvre par Google et d'autres sites. Pendant que je suis un énorme promoteur d'authentification multi-facteurs à l'aide de jetons ou de codes envoyés à votre appareil mobile, je souhaite également comprendre comment faire ce que fait ma banque.
Existe-t-il un nom ou terme pour ce modèle d'authentification?
SiteKey est le nom de fonctionnalité que de nombreuses banques l'appellent et devraient pouvoir être recherchées sous ce nom. Il ajoute un minimum s'il est une sécurité. Tout ce que votre serveur peut présenter à l'utilisateur, un homme au milieu peut agir comme s'il s'agissait du client et obtenez les mêmes informations. Sitekey (qui est probablement ce que votre banque l'appelle) n'est pas sécurisé et n'ajoute pas de sécurité significative.
Il peut en réalité être nocif car il peut donner aux utilisateurs un faux sentiment de sécurité et les faire ignorer sinon de bons indicateurs tels que des indicateurs SSL, car l'image ou la phrase sécurisée est là. Ma recommandation générale n'utilise pas de tels mécanismes imparfaits car ils peuvent faire plus de mal que de bien.
C'est ce qu'on appelle authentification basée sur la connaissance , et il est utilisé pour authentifier le serveur distant. Les jetons d'authentification communs sont des mots et des images.
Un point que je ferais, c'est que c'est une mauvaise idée de donner le jeton d'authentification qu'après avoir reçu une information non secrète, telle qu'un nom d'utilisateur. Un attaquant pourrait cibler un seul utilisateur en mettant simplement son nom d'utilisateur dans la page, voire via un mécanisme de récupération à distance iframe ou similaire. Au lieu de cela, il est préférable de demander à l'utilisateur de fournir un jeton d'authentification faible (PIN E.G. à 4 chiffres), puis fournir le secret, puis demander le jeton d'authentification solide (par exemple mot de passe). Cela rend le mécanisme beaucoup plus sûr.
C'est ce qu'on appelle Sitekey. Mais récemment, une étude de Harvard a trouvé un site de site de 97% inefficace. SiteKey est sensible à l'attaque man-in-the-intermédiaire. Sitekey offre un faux sentiment de sécurité. Je vous conseillerais d'aller pour authentification double facteur , qui est l'authentification dans le sens réel.