web-dev-qa-db-fra.com

Pourquoi 2FA est-il habituellement fait après la fourniture du mot de passe correct?

Si tous les comptes ont 2 pieds pour un produit donné, y a-t-il une raison pour laquelle la boîte 2FA ne pouvait pas être sur l'écran de connexion principale? Est-ce une mauvaise pratique de demander le code 2FA avec le nom d'utilisateur et le mot de passe sur le même écran? Outre 2FA étant facultatif sur certains produits, y a-t-il une autre raison pour laquelle 2FA devrait apparaître après une connexion réussie?

46
FirstLegion

Comme d'autres personnes ont souligné, la plupart des sites choisissent probablement d'effectuer 2 étapes distinctes, car le 2e facteur est facultatif, soit en raison de certains comptes ayant besoin d'un second facteur ni d'une sorte de mécanisme "de périphérique mémorisé".

Encore une fois, d'autres ont souligné, de nombreuses implémentations choisissent de fuir des informations en stimulant uniquement le 2e facteur après acceptation/validation du premier facteur.

Bien qu'il soit vrai que la fuite de cette information n'est pas optimale à partir d'un point de vue de la sécurité, on peut affirmer qu'il crée une meilleure expérience utilisateur: l'utilisateur sait que la vérification a échoué (le mot de passe ou le deuxième facteur) et doit uniquement répéter cette étape.

Cela peut également être utile pour le personnel de soutien qui aide un utilisateur qui a des problèmes de connexion, bien qu'il soit à noter que le personnel de soutien pourrait être informé de la vérification échouée par un autre mécanisme (par exemple, vérifier les journaux).

Un compteur à l'argument "Facilité d'utilisation" serait l'utilisation de gestionnaires de mots de passe puisque la plupart des utilisateurs utilisant un gestionnaire de mots de passe permettant de remplir automatiquement leur mot de passe "le FAT DOIR" Le mot de passe du site Web.

0
DavidT