SiteKey est-il une défense valide contre le phishing?
Comme décrit ici , certaines banques utilisent un mécanisme de site de site pour tenter de donner une défense contre le phishing. (Il s'agit d'un schéma dans lequel l'utilisateur est affiché une image personnalisée (chaque utilisateur a sa propre image personnalisée) après que l'utilisateur entre dans son nom d'utilisateur, mais avant de saisir leur mot de passe. En théorie, cela est censé laisser l'utilisateur à vérifier qu'ils sont sur le BOA Page, pas sur un site de phishing.) Les commentaires et les réponses indiquent des problèmes avec cette approche, mais cette question n'était pas sur la question de savoir si l'approche est efficace ou non.
Pour les futurs visiteurs qui pourraient envisager d'utiliser le même système, j'aimerais avoir la question sur le site:
Est-ce une défense valide contre le phishing? Peut-être pas seul, mais comme une étape dans une stratégie de défense en profondeur, ou cela donne-t-il un faux sentiment de sécurité? Si oui, est-ce juste inutile, ou est-ce plus dangereux d'employer ce schéma Parce que du faux sens de la sécurité?
La réponse est non. La raison pour laquelle est que le régime, généralement appelé SiteKey, est vulnérable à une attaque Man-in-the-Middle ou MITM. Tout ce que le site vous montrer, après avoir entré votre nom d'utilisateur et toute autre information " pré-authentification " (comme la compétence de votre compte est), peut être récupéré à partir du site réel par un site de phishing; tout le site de phishing doit faire est de contacter le vrai site, entrez ce que vous venez d'entrer, et il recevra l'expression " secret " ou l'image de ce site qu'il peut ensuite transmettre à vous. Vous pensez alors que le site est réel et entrez votre mot de passe.
Le système pourrait être amélioré un peu, peut-être en définissant un cookie crypté contenant l'identification unique des informations sur l'appareil utilisé, qui modifie la porte d'entrée de l'emplacement d'une manière définie par l'utilisateur. Ce serait plus difficile pour un MITM d'usurper, mais toujours vulnérable, et les données sont perdues si le cookie expire ou l'utilisateur efface leurs cookies mises en cache, ce qui rend le site réel incapable de le prouver est le site réel en utilisant cette méthode.
La meilleure défense contre le phishing existe déjà; signer votre site avec un certificat approuvé X.509, fournissant une vérification tierce partie que vous êtes qui vous dites que vous êtes. A condition que le certificat est correctement crypté et haché, il est pratiquement impossible d'usurper, et il peut être utilisé pour établir une session HTTPS qui transforme le vert d'adresse du navigateur de l'utilisateur (en fournissant les informations visuelles que l'utilisateur est au bon endroit).
Le principal risque est qu'un tel mécanisme est généralement présenté à l'utilisateur comme moyen de savoir que le site est en réalité le site. À cet égard, il ne fournit aucune sécurité significative et ne doit pas être expliquée à un utilisateur en tant que tel, car un site de phishing pourrait simplement agir en tant que client et gratter les informations de la page et le réaffecter. En fait, même sans explication, de nombreux utilisateurs pensent qu'une telle personnalisation, ce qui prouve que le site est le site correct des explications d'autres sites principaux qui l'utilisent. Cela peut conduire à des attaques de phishing qui transmettent une barre de complexité minimale pour être plus efficace.
Cela dit, avec une bonne formation des utilisateurs, il peut s'agir d'une caractéristique bénéfique pour la détection de phishing pour les administrateurs de site. Il augmente un peu la barre technique pour une attaque de phishing et nécessite une attaque plus complète pour empêcher le site l'utilisant de la possibilité de savoir où vient le phisier. Cela dit, il est toujours possible pour un homme au milieu de tirer les informations de l'hôte légitime et de l'abondance des ressources nettes de Bot, il serait possible de demander l'image de diverses adresses IP qui ne correspondent pas à la Site de phishing pour éviter l'institution ciblée d'obtenir des informations significatives sur l'attaque (bien qu'elle brûlerait un bot par tentative de phishing détectée).
Globalement, je ne pense personnellement que de nombreuses situations ont eu lieu à un gain bénéfique car la bonne éducation des utilisateurs peut enseigner à un utilisateur de vérifier le certificat SSL qui est un indicateur de bien meilleur de l'authenticité du site. Authentification basée sur la connaissance (au moins dans la mise en œuvre du style de sites de site) est vraiment "utile" pour les utilisateurs non éduqués et elle échoue complètement dans ce contexte.