康卡斯特已經改變了他們的登錄過程。用戶名和密碼不是兩個輸入框,而是首先提交用戶名。然後在第二頁上輸入您的密碼。Comcast的兩步登錄
https://www.comcast.com/Customers/CustomerCentral.cspx
由於近期的一些安全 的改進,我們現在需要你 在 兩個單獨的步驟輸入您的用戶名和密碼。
什麼可以在安全的改進可能是在這個系統?如果任何事情看起來不太安全,因爲您可以獨立於密碼確認用戶名的存在。
他們正在努力完成什麼在這裏的任何想法?
我的猜測是,他們靶向特定的網絡釣魚/鍵盤記錄軟件,這是「用於」查找山姆的所有登錄信息e頁。這使得一些惡意軟件的工作變得更加困難。
如果您使用許多瀏覽器的「自動填寫我的表單」功能,這也會將登錄信息分隔成瀏覽器數據存儲中的兩個單獨的條目,這對於任何可能嘗試的軟件來說都會稍微困難一些利用此功能。
簡單,所以當你登錄我的賬戶到更安全的地方,你需要重新輸入您的密碼,而不是使用的記得,我的功能,所以如果有人在電腦上獲取,所有他們能做的就是訪問電子郵件從一個正常的會話。雅虎也這樣做。
不知道,如果Comcast正在做同樣的事情,但我知道有很多的銀行網站,我用最近開始做了以下內容:
所聲明的目標是,如果您作爲用戶注意到圖像和字符串與您在創建帳戶時選擇的內容不匹配,則會產生可疑並且不輸入密碼。
有什麼好處嗎?我也沒有看到,因爲攻擊者的腳本可以從真實的登錄頁面查找圖像和字符串。也許這讓愚蠢的人感覺更安全。
銀行業或上述公司將通過讓愚蠢的人感到更安全而獲得什麼?那不會是作弊嗎? –
也許他們覺得人們不會使用它,如果他們不相信它有安全功能。 – asveikau
這可能是相反的方式,讓聰明的人感到愚蠢,使他們想知道有一些隱藏的安全功能,他們愚蠢的不明白。 –
令人奇怪的是,他們需要你的電子郵件地址和密碼,而不是用戶名的密碼頁面上。
用戶名不是祕密,因爲你在你的大概mail地址使用它....
他們還讓你「留在簽署」 ......
所以實際上,我不要認爲這是一個真正的安全利益
,如果你將其加入書籤,您可以直接獲取到第二登錄頁面....
不確定他們爲什麼要這樣做,但是您是否測試了可能不存在的隨機用戶名?如果他們在第一步中接受任何用戶名,並且在收到用戶名和密碼後才提供錯誤,則他們不必確認用戶名是否存在。 (你通常可以嘗試創建一個新帳戶來檢查用戶名,只要這是可能的,這可能甚至不值得在這裏防止) – 2009-12-01 05:38:55
我試着用一個不存在的用戶名,他們回來後立即用「 」丟失或無效信息「 –