La storia sembra essere arrivata quasi al punto di partenza in cui vengono mostrati i vecchi problemi nelle tecnologie nuove / emergenti.
Sfondo
Se ti fidi del sistema operativo, in origine Windows aveva Control - Alt - Delete come modo per impedire ai programmi TSR (Terminate and Stay Resident) di rubare le password. Ha anche invocato un GINA ora il sottosistema Windows Secure (come si chiama in questi giorni).
Se ti fidi del browser, i browser Web hanno dimostrato sicurezza utilizzando le icone SSL / TLS / HTTPS nel browser e, a volte, hanno colorato la barra di stato verde per i siti che hanno pagato in eccesso il loro certificato SSL.
problema
Ora che i dispositivi mobili non mostrano una barra di stato HTTPS durante la navigazione è impossibile dire se sei tu re su un sito legittimo o hackerato tramite SSLStrip MITM o HTTPS. Inoltre, non esiste una modalità protetta integrata nel sistema operativo stesso, quindi sembra quasi impossibile distinguere una finestra di autenticazione di legittima da un impostore.
Puoi dirlo all'importatore dalla finestra di dialogo legit?
AnchesemostrolafederazioneAzureActiveDirectorydicuisopra,lostessoproblemasiapplicaagliaccountconsumereaziendalichesfruttanoaltrisistemi(OAuth,OpenID,Facebook,PingIdentity,ADFS)
Questoproblemamièvenutoinmentequandohoscaricatoun'appAndroidchestavachiaramentepubblicandophishingperlemiecredenzialiinmodochepotessepubblicareunarecensionefavorevoledisestessa....un'appReviewWormdisorta.
Domanda
Inchemodounutentestupidopuòproteggersidaunsimileattacco,suundispositivomobile?
I
certificati fisici sono l'unica opzione per prevenire il phishing? (Autenticazione reciproca TLS) -
FIDO ha un ruolo nel proteggere lo spazio mobile?