Spiega a una persona esperta di non tecnologia come verificare che la tua connessione a mybank.com sia sicura?

Aggiornamento 09/2018:

Mentre in precedenza ho affermato che questa potrebbe essere una buona opzione, il mondo è cambiato e l'uso di EV non è più un indicatore particolarmente affidabile, anche in considerazione degli inconvenienti menzionati di seguito. Ci sono articoli come questo da Troy Hunt che spiegano il problema completo, ma, in Insomma, i browser non trattano più i certificati EV come qualcosa di particolarmente speciale e nascondono o riducono gli indicatori dello stato EV.

Prendendo il primo dei siti mostrati in precedenza, ad esempio, viene visualizzata la seguente schermata in, rispettivamente, Chrome 69, Edge, Firefox 62 e Internet Explorer 10. Safari su dispositivo mobile mostra un lucchetto verde e "Barclays PLC", Chrome on mobile mostra un lucchetto verde, "https" in verde, quindi il resto dell'URL in nero.

Inaltreparole,ancheseilsitoutilizzauncertificatoEV,nonc'èpiùunsingoloindicatorechepossaesserefacilmentecomunicatoaunapersonanontecnica.Erasempreinbaliadeibrowserenonèpiùtrattatocomequalcosadispeciale.

Quindi,qualèl'alternativa?Nonvieneinmentenulla:gliURLsottostantiprovengonodaunaseriedisottodominideisitibancari,ilcherendepiùdifficilelaricercadelnomedellabancaenonfunzionasualcunidispositivimobili,chenonmostranol'URLcompleto.Ilsimbolodellucchettoèfaciledaaggirare,dataladisponibilitàdicertificatiSSLgratuitiperidominichecontrolli.Ibrowserperlamaggiorparteattualmentemostrano"https: //", ma non "http: //" ora, ma facendo affidamento su ciò che rimane il caso ha la maggior parte degli stessi problemi che dipendono dalla barra degli indirizzi verde.

Questo lascia ogni volta l'indirizzo della banca nella barra degli indirizzi, ed è assolutamente certo che non abbia errori di battitura, che non è neanche un metodo affidabile. La ricerca non è affidabile: la maggior parte dei provider di ricerca è abbastanza brava a estirpare link falsi negli annunci in termini come "login online banking", ma richiede solo un collegamento mancante. I seguenti link dal sito principale della banca spostano il problema di verifica su un livello.

Suppongo che stia solo facendo attenzione: usa un singolo dispositivo per accedere al sito bancario, usando un segnalibro che è stato controllato attentamente durante la creazione e non consentire a nessun altro di accedere a quel dispositivo, quindi non possono essere modificato. Probabilmente ha senso per alcune persone, ma ho visto che è un carico troppo alto per l'utente medio, dove i dispositivi sono condivisi con i membri della famiglia o potrebbero essere accessibili dai colleghi.

Originale 02/2016:

Stavo per suggerire che assicurando che la schermata di login per il sistema bancario online mostrasse il nome della banca in verde, nella barra degli indirizzi potrebbe funzionare. Ma poi ho iniziato a chiedermi se una delle banche locali che conosco lo abbia fatto correttamente.

È meno incoraggiante di quanto avessi sperato. Per queste nove banche piuttosto grandi, 6 fornire il nome della banca nella barra di certificazione EV. 2 fornire il nome del gruppo genitore (che potrebbe non essere sempre evidente) e uno non ha nemmeno un certificato EV.

Il certificato EV è progettato per semplificare questo compito, se usato correttamente - non è possibile simularlo facilmente, ed è al di fuori dell'area della pagina, quindi non può essere inserito da un attore malintenzionato. Tuttavia, sembra che le banche non stiano facendo altrettanto bene ad usarlo ..

Perché gli indicatori di sicurezza falliscono rispetto al phishing

Non è possibile intraprendere azioni economicamente valide. In altre parole, è troppo difficile difendersi dagli attacchi di phishing. Vedi 'Così lungo e no grazie per le esternalità' per un esempio sull'economia degli Stati Uniti e lavoratori dell'informazione.

Hai ragione che il controllo della correttezza dell'URL è soggetto a errori e gli indicatori di sicurezza passivi HTTPS sono un grande scherzo. Passano inosservati, per anni sono stati privi di significato (cosa significa se la tastiera è blu o verde o grigia !?), e se fossero più prominenti / attivi, le persone si abituerebbero a vederli e gli attacchi potrebbero semplicemente comprare un certificato per un URL canaglia in modo che il nome si verifichi.

La soluzione a questo problema deve essere architettonica, piuttosto che basarsi sullo sprecare il tempo degli umani e su detti umani per non commettere errori. Perché i browser Web non dispongono di un repository centralizzato e affidabile da cui verificare gli URL delle banche e dei siti di pagamento / trasferimento affidabili, in modo da poter utilizzare indicatori di sicurezza esclusivi per tali siti?

Soluzione: fai in modo che gli utenti facciano affidamento su un'interazione sicura anziché far fronte alle limitazioni degli indicatori

Vorrei dire alla gente di andare sul sito web una volta, assicurati che l'URL sia corretto una volta (puoi aiutarli) e salvarlo nei preferiti. E usa esclusivamente il pulsante dei preferiti in modo che sappia che si trovano sul sito web giusto. Vorrei dire loro (senza dettagli) che non si sa mai dove atterrare quando si fa clic su un collegamento o si cerca un sito Web, ma il pulsante Preferiti ti porta sempre nel posto giusto. Come? Non importa.

In questa fase, gli utenti hanno la garanzia di atterrare sull'URL corretto. Se si verifica un attacco MITM attivo, otterrà l'avviso del certificato spaventoso, che normalmente non hanno per il proprio sito web bancario. L'assuefazione di avvertimento è una cosa molto reale, e mancano dati per determinare se gli utenti dovrebbero prestare attenzione ad esso nel contesto di un sito Web bancario precedentemente attendibile. Migliorare questo avviso (ad esempio renderlo più rischioso per i siti bancari) richiederebbe anche la conoscenza di ciò che è e non è il sito web di una banca.

"Sto chiedendo come spiegare a un utente ordinario come verificare che il browser stia utilizzando HTTPS e che tu sia nel sito giusto ..."

Sono d'accordo con quello che gli altri hanno detto qui sulla ricerca del blocco e della "s" in https e verificando che l'url dopo // sia corretto. Questo è ciò che ricordo ai miei clienti. Tutte le istituzioni finanziarie avranno queste cose come minimo

Altri approcci come il "nome verde" nei certificati EV sono utili ma non tutte le banche li usano perché sono molto più costosi e richiedono più documenti per implementare (per dimostrare chi sei) di un certificato SSL standard.

Due cose che aggiungerei alla discussione sono forse concentrarsi su come le persone arrivano al sito bancario.

Se ci arrivano tramite un segnalibro (ok se usi sempre lo stesso computer e browser), o tramite l'app mobile della banca, o digitando l'url (sperabilmente breve e digitato correttamente) della loro banca ogni volta, hanno meno probabilità di incontrare attacchi di phishing o MITM.

Tuttavia, se rispondono a un link in un'e-mail che dichiara di essere dalla banca (sempre dubbioso) o fuori dai risultati di un motore di ricerca, devono essere più cauti o evitare del tutto queste vie.

L'altra cosa che faccio con i miei clienti è di avvertirli delle conseguenze se diventano incuranti ... come scoprire le transazioni che non hanno fatto e / o i soldi sono andati via dal loro account, trasferiti in paesi dove il recupero potrebbe essere impossibile (come la Russia o la Cina). Fondamentalmente, un po 'di paura / paranoia può fare molto per mantenere la gente vigile e il loro account sicuro. Spero che questo aiuti!

Essenzialmente la tua domanda è di autenticazione. In questo caso, gli utenti che autenticano il sito web della banca sono in realtà la banca.

Penso che tu abbia ragione, e l'utente avrà difficoltà ad autenticare la banca attraverso l'URL (molte banche hanno più URL per esempio). Hai anche ragione nel ritenere che gli utenti non siano eccessivamente sofisticati in merito agli URL e non lo facciano (e non possano essere addestrati) per comprenderlo correttamente.

Un approccio che ho visto in alcune banche è che la banca mostra sempre un segreto condiviso prima che l'utente effettui l'autenticazione. Funziona in questo modo:

L'utente esegue una pre-autenticazione inserendo un nome utente e una risposta a una domanda di sicurezza.

Il sito Web visualizza un'immagine, una parola o entrambi che l'utente ha selezionato. Ciò garantisce che la banca è effettivamente la banca, poiché solo la banca conosce l'immagine o la frase che l'utente ha scelto.

L'utente inserisce quindi la password.

Mi piace fare affidamento sulla funzione di auto-riempimento del mio gestore di password per questo controllo.

La logica è che non sarò abbastanza intelligente per abbinare l'URL del sito nel browser a quello previsto, mentre lo farà un gestore di password.

Quindi quando vedo che ha inserito la voce per il sito - il sito è autentico, altrimenti dovrei iniziare a preoccuparmi.

Il gestore password deve ovviamente essere "buono", ma questo è un altro problema.

La risposta di Steve DM (controllo e bookmarking della pagina) è migliore da un punto di vista di sicurezza assoluto, ma un'altra opzione praticabile (e possibilmente più user friendly) è quella di dirlo a Google la banca ogni volta invece di fare clic su un link. / p>

In questo modo, ti affidi a Google per portarti nel posto giusto piuttosto che a un link ombreggiato e alle tue capacità di osservazione.

È facile e qualcosa che i tuoi amici fanno già regolarmente.

NOTA: Questo è ancora suscettibile agli attacchi MITM, ma impedirà attacchi di phishing di base. Dico solo a una persona esperta di non tecnologia di consultare sempre la propria banca (e altri siti sensibili) di Google e di non accedere a siti Web sensibili in luoghi pubblici.

Sì. Utilizza un'app che si connette definitivamente al sito.

Or. Controlla l'https. Verifica l'url. Assicurati che l'url sia abbastanza corto da poter vedere visivamente eventuali manomissioni. Inoltre, forse alcuni esempi di attacchi omografici.