Ma banque a récemment modifié son processus de connexion pour afficher une image présélectionnée qu'elle qualifie d '"image de confiance" - apparemment pour permettre à un utilisateur de site Web humain d'authentifier le site Web de la banque comme n'étant pas une usurpation d'identité.
L'ancien processus de connexion était:
GET
à leur page de connexionPOST
soumettez le formulaireHTTP 303
redirection vers la page du tableau de bord du compteLe nouveau processus est le suivant:
GET
à leur page de connexionPOST
soumettez le formulaireHTTP 303
redirection vers la page "Image de confiance", qui montre une photo que j'ai précédemment sélectionnée, elle m'invite également à ressaisir mon mot de passe une deuxième fois. Après POST
ing ce formulaire, il redirige vers la page du tableau de bord de mon compte.Je ne vois pas comment cela ajoute une sécurité réelle - tout MITM, ou tout proxy d'ailleurs (en supposant que la sécurité TLS est compromise d'une manière ou d'une autre) pourrait transmettre l'image de confiance et je la reconnaîtrais. De même, un site Web usurpé n'a besoin que de transmettre mes propres informations d'identification à la page de connexion de la banque réelle, d'obtenir une copie de l'image de confiance et de la restituer - ce qui tromperait très facilement un utilisateur moins sophistiqué.
Seul un site Web usurpé très basique (avec une page d'image de confiance codée en dur) ferait en sorte que les utilisateurs voient la différence, mais le plus gros problème est qu'il n'affiche l'image qu'après J'ai déjà entré mon mot de passe - la fonctionnalité est donc inutile car le site Web de fraude ou d'attaque a déjà une copie de mon nom d'utilisateur et de mon mot de passe.
Je me souviens qu'à un moment donné, la page de connexion OpenID de Yahoo montrait une image de confiance, alors que c'était après avoir entré mon nom d'utilisateur, c'était surtout avant que j'entrais mon mot de passe (donc le processus de connexion a été divisé en deux formulaires) - je crois qu'il était également basé sur un cookie HTTP uniquement, donc la connexion à Yahoo dans un navigateur propre ne déclencherait pas l'image de confiance.
L'utilisation de l'intelligence humaine pour effectuer l'authentification mutuelle semble être une mauvaise idée - les certificats X.509 remplissent déjà le rôle d'authentification de serveur, et les certificats EV facilitent la tâche pour les utilisateurs moins sophistiqués ("recherchez le vert"). Je ne vois pas la motivation ... ou le succès derrière ce mouvement, et je suis frustré d'avoir à sauter à travers un autre cerceau pour me connecter à ma banque.
n commentaire intéressant de Joshua suggère que ces images pourraient aider dans les situations MITM à condition que chaque demande d'image soit enregistrée et puisse être utilisée comme preuve d'une attaque de phishing, comme ceci:
Vous décrivez une variation de SiteKey .
Votre banque ne l'implémente pas correctement car elle demande à la fois le nom d'utilisateur et le mot de passe avant d'afficher l'image. Si la page était un attaquant, il ne pourrait pas vous montrer l'image correcte, mais cela n'a pas d'importance car il a déjà votre nom d'utilisateur et votre mot de passe.
S'il est correctement implémenté, il est toujours très inefficace .