Frage:
Wie verbessern "Vertrauensbilder" auf der Anmeldeseite meiner Bank die Sicherheit?
The D
2016-07-29 14:32:02 UTC
view on stackexchange narkive permalink

Meine Bank hat kürzlich ihren Anmeldevorgang geändert, um ein vorausgewähltes Bild anzuzeigen, das sie als "Vertrauensbild" bezeichnet - angeblich, damit ein menschlicher Website-Benutzer die Website der Bank als keine Parodie authentifizieren kann.

Die Der alte Anmeldevorgang war:

  1. Besuchen Sie BankName.com (die gesamte Website ist mit einem EV-Zertifikat gesichert).
  2. Klicken Sie auf den Anmeldelink, eine GET -Anforderung
  3. Benutzername und Passwort eingeben, POST Formular senden
  4. HTTP 303 Weiterleitung zur Konto-Dashboard-Seite erhalten
  5. ol>

    Der neue Prozess lautet:

    1. Besuchen Sie BankName.com (die gesamte Website ist mit einem EV-Zertifikat gesichert)
    2. Klicken Sie auf den Anmeldelink, a GET Anfrage an ihre Anmeldeseite
    3. Geben Sie Benutzername und Passwort ein, POST Formular senden
    4. Empfangen Sie HTTP 303 Weiterleitung zur Seite "Vertrauensbild", auf der ein zuvor ausgewähltes Bild angezeigt wird. Außerdem werde ich aufgefordert, mein Kennwort ein zweites Mal erneut einzugeben. Nach dem POST dieses Formulars wird es zu meiner Konto-Dashboard-Seite weitergeleitet.
    5. ol>

      Ich sehe nicht, wie dies die tatsächliche Sicherheit erhöht - ein MITM oder ein Proxy für Diese Angelegenheit (vorausgesetzt, die TLS-Sicherheit ist irgendwie gefährdet) könnte das Vertrauensbild weiterleiten, und ich würde es erkennen. In ähnlicher Weise muss eine gefälschte Website nur meine eigenen Anmeldeinformationen an die Anmeldeseite der realen Bank weiterleiten, eine Kopie des Vertrauensbilds erhalten und dieses erneut bereitstellen - was einen weniger anspruchsvollen Benutzer sehr leicht täuschen würde.

      Nur a Eine sehr einfache gefälschte Website (mit einer fest codierten Vertrauensbildseite) würde dazu führen, dass Benutzer die Diskrepanz sehen. Das größte Problem ist jedoch, dass das Bild erst angezeigt wird, nachdem ich mein Passwort bereits eingegeben habe Die Funktion ist nutzlos, da die Parodie- oder Angriffswebsite bereits eine Kopie meines Benutzernamens und Passworts enthält.

      Ich erinnere mich, dass die OpenID-Anmeldeseite von Yahoo zu einem bestimmten Zeitpunkt ein Vertrauensbild zeigte, während dies nach der Eingabe meines Benutzernamens der Fall war, bevor ich mein Passwort eingegeben habe (also war der Anmeldevorgang) Aufteilung auf zwei Formen) - Ich glaube, es basierte auch auf einem Nur-HTTP-Cookie, sodass die Anmeldung bei Yahoo in einem sauberen Browser das Vertrauensbild nicht auslösen würde.

      Verwenden von Human-Intelligence zur gegenseitigen Ausführung -authentication scheint eine schlechte Idee zu sein - X.509-Zertifikate übernehmen bereits die Rolle der Serverauthentifizierung, und EV-Zertifikate erleichtern dies weniger erfahrenen Benutzern ("Look for the Green"). Ich sehe die Motivation ... oder den Erfolg hinter diesem Schritt nicht und bin frustriert, dass ich durch einen anderen Rahmen springen muss, um mich bei meiner Bank anzumelden.

      UPDATE: Einige Wochen, nachdem meine Bank dieses Vertrauen eingeführt hat - Bilder Sie haben den Anmeldevorgang geändert, sodass Sie Ihr Passwort eingeben, nachdem Sie das Bild gesehen haben:

      1. Besuchen Sie BankName.com und klicken Sie auf den Link Anmelden
      2. Geben Sie nur den Benutzernamen ein.
      3. Die Antwortseite enthält das Vertrauensbild und ein Kennworteingabefeld.
      4. Senden Sie mit dem richtigen Kennwort, um zu Ihrem Konto-Dashboard zu gelangen.
      5. ol>

        Ein interessanter Kommentar von Joshua schlägt vor, dass diese Bilder in MITM-Situationen hilfreich sein könnten, vorausgesetzt, jede Bildanforderung wird protokolliert und als Beweis für einen Phishing-Angriff verwendet, wie folgt:

        1. Benutzer klickt auf Link beim Phishing E-Mail, öffnet TotallyNotFakeBank.com/login
        2. Diese Anmeldeseite enthält nur eine Eingabeaufforderung für den Benutzernamen.
        3. Nach dem Senden des Benutzernamens stellt der MITM-Server eine neue Anfrage an die Website der realen Bank und erhält diese das wahre Vertrauensbild. Diese Anfrage wird von der MITM-eigenen IP-Adresse gestellt (Hypothetisch könnte die MITM-Site den Client / das Opfer verwenden, um eine AJAX-Anfrage für das Image zu stellen, aber wenn CORS und andere Einschränkungen korrekt eingerichtet sind, sollte dies unmöglich sein)
        4. Das MITM generiert die gefälschte Vertrauensbildseite und stellt das Bild dem Opfer erneut zur Verfügung. Das Opfer gibt sein Passwort weiter.
        5. Das Opfer verliert anschließend Geld, nachdem die Angreifer die Anmeldeinformationen verwendet haben, um Geld vom Konto zu erhalten.
        6. Das Opfer informiert seine Bank und die Bank überprüft die Zugriffsprotokolle des Vertrauensbilds und sieht das Original Die Anfrage nach dem Vertrauensbild kam nicht von ihrem üblichen Webbrowser, was die Bank dazu veranlasste, der Geschichte ihres Kunden zu glauben, anstatt anzunehmen, dass es sich um einen falschen Bericht handelte.
        7. ol>
Zustimmen.Auch ohne MITM funktioniert eine Phishing-Site ohne Sitekey immer noch: Da es den meisten Benutzern egal ist, geben sie einfach das Passwort ein.
Ich habe auch einen Dienst verwendet, der diesen Ansatz verwendet hat (korrekt implementiert wie in der folgenden Antwort) und fand ihn ziemlich nutzlos, weil ich aus einem von (IIRC) 4 vordefinierten Bildern auswählen musste.Dies bedeutete, dass es eine 25% ige Chance gab, dass ein hartcodierter Angreifer richtig raten würde, genauso wie eine kaputte Uhr zweimal am Tag richtig ist.
@JoshRumbut, bedeutet nicht unbedingt, dass alle Benutzer die gleichen 4 Bilder zur Auswahl haben.Die Site könnte eine große Sammlung von Bildern enthalten und jedem Benutzer nur eine kleine Auswahl zeigen.
@cjm anekdotisch, von drei anderen Benutzern, deren Bild ich gesehen hatte, hatten sie alle das gleiche ausgewählte Bild.Sie haben Recht, dass dies eine gute Balance zwischen UX und Sicherheit schaffen würde.
Einer antworten:
Sjoerd
2016-07-29 14:44:00 UTC
view on stackexchange narkive permalink

Sie beschreiben eine Variante von SiteKey.

Ihre Bank implementiert sie falsch, da sie vor der Anzeige des Bildes sowohl nach dem Benutzernamen als auch nach dem Passwort fragt. Wenn die Seite eines Angreifers wäre, könnte er Ihnen nicht das richtige Bild zeigen, aber das spielt keine Rolle, da er bereits Ihren Benutzernamen und Ihr Passwort hat.

Bei korrekter Implementierung ist sie immer noch sehr ineffektiv.

Informationen zur korrekt implementierten, aber wie Sie sagen ineffektiven Methode finden Sie auch unter http://security.stackexchange.com/questions/19155/effectiveness-of-security-images http://security.stackexchange.com/questions/26347/ ist-sitekey-eine-gültige-Verteidigung-gegen-Phishing http://security.stackexchange.com/questions/26332/what-is-this-authentication-method-approach-called
+1 für "Ihre Bank implementiert es falsch".Der Teil der Eingabe aller Anmeldeinformationen, bevor ich das Bild sehen konnte, fiel mir auch in einem "WTF?"(oder sogar TheDailyWTF) Sinn.
SiteKey fällt einem Man-in-the-Middle-Angriff zum Opfer.Es handelt sich auch um eine Back-End-Regeneration, die jedoch ein nachvollziehbares Protokoll auf dem Server der Bank hinterlässt, sodass es erkannt werden kann.
Ironischerweise ist SiteKey selbst ein solides Design gegen Phishing-Versuche, aber leider nicht benutzerfreundlich genug, um effektiv zu sein.
Es ist wichtig zu erwähnen, dass die Website nach Cookies suchen soll, um festzustellen, ob Sie sich in einem bekannten, zuvor verwendeten Browser befinden.Andernfalls wird eine Sicherheitsfrage gestellt.Dies erfolgt vor dem Anzeigen des Bildes.Außer natürlich, dass ein dedizierter MITM-Angriff diese Sicherheitsfrage anzeigen und dann das Image erhalten könnte.Es ist sowieso unwahrscheinlich, dass Benutzer den Verdacht haben, eine Sicherheitsfrage gestellt zu bekommen.Soweit ich das beurteilen kann, ist dies überhaupt nicht immun gegen Phishing.Das macht es nur ein bisschen schwieriger.Und das ignoriert die Tatsache, dass Benutzer die Bilder ignorieren.
@MichaelKjörling Meine Bank hat das Kennwort vor dem Sitekey einige Monate nach seiner Einführung entfernt.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...