In che modo le "Immagini di fiducia" sulla pagina di accesso della mia banca migliorano la sicurezza?

22

La mia banca ha recentemente modificato la propria procedura di accesso per mostrare un'immagine preselezionata che etichettano una "immagine di fiducia", apparentemente per consentire a un utente del sito web umano di autenticare il sito web della banca come se non fosse una parodia.

Il vecchio processo di accesso era:

  1. Visita BankName.com (l'intero sito è protetto da un certificato EV)
  2. Fai clic su Link di accesso, una richiesta di GET alla pagina di accesso
  3. Inserisci nome utente e password, POST invia modulo
  4. Ricevi HTTP 303 reindirizzamento alla pagina dashboard dell'account

Il nuovo processo è:

  1. Visita BankName.com (l'intero sito è protetto da un certificato EV)
  2. Fai clic su Link di accesso, una richiesta di GET alla pagina di accesso
  3. Inserisci nome utente e password, POST invia modulo
  4. Ricevi HTTP 303 reindirizzamento alla pagina "Immagine di confidenza", che mostra un'immagine che ho selezionato in precedenza, inoltre mi suggerisce di reinserire la mia password per la seconda volta. Dopo POST di questo modulo, reindirizza alla pagina dashboard del mio account.

Non vedo come questo aggiunge alcuna sicurezza effettiva - qualsiasi MITM, o qualsiasi proxy per quella materia (supponendo che la sicurezza TLS sia compromessa in qualche modo) potrebbe inoltrare l'immagine di fiducia e io la riconoscerei. Allo stesso modo, un sito Web di spoof ha bisogno solo di inoltrare le mie credenziali alla pagina di login della banca reale, ottenere una copia dell'immagine di fiducia e riutilizzarla, cosa che ingannerebbe molto facilmente un utente meno sofisticato.

Solo un sito web di spoofing molto basico (con una pagina di immagine di confidenza hardcoded) indurrebbe gli utenti a vedere la discrepanza, ma il problema più grande è che mostra solo l'immagine dopo che ho già inserito la mia password - quindi la funzionalità è inutile perché il sito Web spoof o di attacco ha già ricevuto una copia del mio nome utente e password.

Ricordo che ad un certo punto la pagina di login di OpenID di Yahoo mostrava un'immagine di confidenza, mentre ciò avveniva dopo aver inserito il mio nome utente, in particolare era prima ho inserito la mia password (quindi il processo di login era diviso in due forme) - Credo che fosse basato anche su un cookie solo HTTP, quindi accedere a Yahoo in un browser pulito non avrebbe attivato l'immagine di fiducia.

L'utilizzo dell'intelligence umana per eseguire l'autenticazione reciproca sembra una cattiva idea: i certificati X.509 svolgono già il ruolo di autenticazione del server ei certificati EV semplificano questo compito per gli utenti meno esperti ("cerca il verde"). Non riesco a vedere la motivazione ... o il successo dietro questa mossa, e sono frustrato dal dover saltare attraverso un altro cerchio per accedere alla mia banca.

AGGIORNAMENTO: poche settimane dopo che la mia banca ha introdotto queste immagini di fiducia hanno cambiato la procedura di accesso in modo da inserire la password dopo aver visto l'immagine:

  1. Visita BankName.com, fai clic sul link Accedi
  2. Inserisci solo nome utente.
  3. La pagina di risposta ha l'immagine di confidenza e una casella di inserimento della password
  4. Invia con la password corretta per accedere alla dashboard del tuo account

Un commento interessante di Joshua suggerisce che queste immagini possano aiutare nelle situazioni MITM a condizione che ogni richiesta di immagine venga registrata e possa essere utilizzata come prova di un attacco di phish, in questo modo:

  1. L'utente fa clic sul link nell'email di phishing, apre TotallyNotFakeBank.com/login
  2. Questa pagina di accesso ha solo una richiesta di nome utente.
  3. Dopo aver inviato il nome utente, il server MITM invia una nuova richiesta al sito Web della banca reale e ottiene l'immagine di fiducia reale. Questa richiesta sarà dal proprio indirizzo IP del MITM (Ipoteticamente il sito MITM potrebbe usare il client / vittima per fare una richiesta AJAX per l'immagine, ma se CORS e altre restrizioni sono impostati correttamente questo dovrebbe essere impossibile)
  4. Il MITM genera la falsa pagina immagine di confidenza e ri-serve l'immagine alla vittima, e la vittima passa la sua password.
  5. Successivamente, la vittima perde denaro dopo che gli aggressori hanno utilizzato le credenziali per ottenere denaro dall'account.
  6. La vittima informa la propria banca e la banca controlla i log di accesso dell'immagine confidenziale e vede che la richiesta originale per l'immagine di fiducia non proviene dal solito browser Web, portando la banca a credere invece alla storia dei propri clienti di presumere che si trattava di un falso rapporto.
posta The D 29.07.2016 - 11:32
fonte

1 risposta

38

Stai descrivendo una variante di Tastiera del sito .

La tua banca la implementa in modo errato perché richiede sia il nome utente che la password prima di mostrare l'immagine. Se la pagina fosse di attaccante, non potrebbe mostrarti l'immagine corretta, ma non importa perché ha già nome utente e password.

Se correttamente implementato, è ancora notevolmente inefficace .

    
risposta data 29.07.2016 - 11:44
fonte

Leggi altre domande sui tag