Istnieje kilka formularzy logowania (np. Google) w Internecie, w których najpierw podaje się nazwę logowania, a po przesłaniu należy podać hasło.
Jedną z zalet tego jest Przypuszczam, że serwer może pobrać obraz, który tylko zna, i wyświetlić go użytkownikowi, aby udaremnić proste próby phishingu.
Moje pytanie brzmi: dlaczego nikt nie robi tego na odwrót - najpierw poproś o hasło, a następnie nazwę logowania.
Widzę oczywistą odpowiedź (że hasło może nie być unikalne i dlatego serwer nie wiedziałby, czyje-obrazy antyphishingowe mają wyświetlać), ale to mnie nie przekonuje. Natychmiastowe wyłączenie kont, które korzystają ze wspólnych haseł lub przynajmniej zmuszenie użytkowników do zmiany ich haseł na unikalny ciąg przy następnym logowaniu, może być sposobem obejścia tego problemu, a na marginesie rozwiązałoby to zjawisko haseł „123456”.
Inną kwestią, którą widzę, jest to, że w scenariuszu phishingu, w którym użytkownik wprowadza prawidłowe hasło, a następnie zauważa, że wyświetlane są mu niewłaściwe obrazy, już podał swoje hasło i jedyne, co pozostaje do zrobienia dla phishera, to zidentyfikowanie, kto to jest do którego należy hasło.
Chciałbym wiedzieć, czy sekwencja logowania-następnie-hasła wynika głównie z konwencji lub rozważań dotyczących interfejsu użytkownika, czy też istnieją inne problemy z bezpieczeństwem związane z odwróceniem kolejności, o którą należy prosić najpierw hasło (oprócz dwóch, o których wspomniałem).