进行两步登录的原因是什么？（用户名在一页上，密码在第二页上。）

因此，最近我遇到了更多的两步登录过程，要求我在一页上输入用户名，然后在第二页上输入密码。我真的不喜欢这种模式，因为它需要额外的页面加载才能登录。

但是有几个人告诉我它更安全。如何更安全？还有其他原因会给用户带来不便吗？

真正的两因素身份验证通过使用户使用其用户名和密码登录，然后说出在手机上或通过卡/代码生成器说出的代码（巴克莱银行派出的读卡器基于一次使用生成一次使用的代码）而引入了另一种安全级别。刷卡。

将用户名和密码拆分到两个不同的页面上不会增加​​任何额外的安全性（AFAIK）

正如您所描述的，我看到两步登录更为安全的唯一原因是，第一页上输入的用户名是否与用户注册时选择的某种图像或短语匹配。这有助于网站进行自我验证。

如果有人要复制您的网站以用于网络钓鱼活动，则他们将无法显示图片或短语。当用户输入密码时，它可以保护用户。

如果您没有从第一页到第二页拉动任何其他帐户安全性项目，那么这样做就没有多大意义了。

我能提出的唯一理由包括防止自动攻击。

在一个页面上都接受用户名和密码的情况下，创建一个自动脚本会比较简单，该脚本将使用用户名和密码组合对该页面进行锤打，直到通过检查为止-出于明显的原因，这种攻击称为“蛮力”攻击。

在一个页面上输入用户名，在另一页面上输入密码，会使这种攻击更加困难，但并非不可能。这样可以很好地阻止简单的攻击者，并使您领先于大多数站点。

虽然从技术上讲，您不比邻居更安全，但是您不再是低调的目标之一。

这是一种奇怪的情况，但是如果未加密地提供主站点（可能出于性能原因），但是您希望用户能够从该页面开始登录过程，而不是单击“登录”链接。发送未加密的用户名没什么大不了的，然后您可以通过HTTPS提供登录页面的第二部分（密码字段）。

我认为这可能不值得（程序员需要更多的工作，用户需要更多的工作，处理器工作量的微小减少），但是有些人可能认为这是值得的。

示例：First National在其主页上执行此操作。

我只能在http://www.schneier.com/blog/archives/2005/10/us_regulators_r.html上找到有关它的旧文档。长话短说美国银行和我认为，信用卡公司必须在其网站登录表单中使用两因素身份验证。

正如该帖子所讨论的那样，这并不能真正解决问题，只是使罪犯有更多的障碍可以跳过。

在单独的页面上接受用户名和密码不会以任何方式使应用程序更安全。我想知道您在哪个网站上遇到过此信息？

我的银行找到了使用两步身份验证的一个很好的理由：我知道三种身份验证用户的方法：

• 公司的加密卡
• 私人帐户的加密卡（不同类型的卡！）
• 仅密码验证

他们使用两步登录，因此他们知道您拥有的帐户类型，因此在输入密码时可以提供一些帮助。如果您需要输入密码，他们会明确要求输入密码。如果您需要使用加密卡生成唯一的身份验证码，他们会要求您提供该密码并提供特定于您的卡类型的帮助链接。

我会说它使安全性降低。因为您可以知道user123在该站点上有一个帐户，然后可以对该帐户进行暴力破解。

标准做法是永远不要让人们知道帐户或密码是否不正确..“您输入的用户名或密码不正确”

使暴力变得更加困难。