In che modo è possibile proteggere l'accesso mobile dalle schermate di autenticazione dell'impostazione?

13

La storia sembra essere arrivata quasi al punto di partenza in cui vengono mostrati i vecchi problemi nelle tecnologie nuove / emergenti.

Sfondo

Se ti fidi del sistema operativo, in origine Windows aveva Control - Alt - Delete come modo per impedire ai programmi TSR (Terminate and Stay Resident) di rubare le password. Ha anche invocato un GINA ora il sottosistema Windows Secure (come si chiama in questi giorni).

Se ti fidi del browser, i browser Web hanno dimostrato sicurezza utilizzando le icone SSL / TLS / HTTPS nel browser e, a volte, hanno colorato la barra di stato verde per i siti che hanno pagato in eccesso il loro certificato SSL.

problema

Ora che i dispositivi mobili non mostrano una barra di stato HTTPS durante la navigazione è impossibile dire se sei tu re su un sito legittimo o hackerato tramite SSLStrip MITM o HTTPS. Inoltre, non esiste una modalità protetta integrata nel sistema operativo stesso, quindi sembra quasi impossibile distinguere una finestra di autenticazione di legittima da un impostore.

Puoi dirlo all'importatore dalla finestra di dialogo legit?

AnchesemostrolafederazioneAzureActiveDirectorydicuisopra,lostessoproblemasiapplicaagliaccountconsumereaziendalichesfruttanoaltrisistemi(OAuth,OpenID,Facebook,PingIdentity,ADFS)

Questoproblemamièvenutoinmentequandohoscaricatoun'appAndroidchestavachiaramentepubblicandophishingperlemiecredenzialiinmodochepotessepubblicareunarecensionefavorevoledisestessa....un'appReviewWormdisorta.

Domanda

  • Inchemodounutentestupidopuòproteggersidaunsimileattacco,suundispositivomobile?

  • I certificati fisici sono l'unica opzione per prevenire il phishing? (Autenticazione reciproca TLS)

  • FIDO ha un ruolo nel proteggere lo spazio mobile?

posta random65537 01.09.2015 - 02:40
fonte

1 risposta

3

L'unico modo per garantire la sicurezza è se utilizzi un'applicazione mobile attendibile, come Chrome, e vedi il lucchetto e HTTPS all'inizio della barra degli indirizzi.

Tieni presente che confidi sia su Chrome sia sul dominio del sito web che è HTTPS.

Se stai utilizzando un'applicazione di terze parti che integra un browser, hai fiducia in quella applicazione. Se non ti fidi di tale applicazione, non puoi fidarti di ciò che ti viene mostrato all'interno di quella applicazione. Pertanto, dovresti inserire le credenziali solo attraverso le applicazioni di cui ti fidi, in questo caso Chrome. Tieni presente che le pagine a schermo intero ora richiedono l'autorizzazione per la visualizzazione a schermo intero in Chrome, quindi una pagina in cui viene disegnata la barra degli indirizzi non è più possibile senza Chrome che avvisa l'utente.

Tieni presente che anche se ti fidi di un'app, devi fare attenzione che l'app abbia caricato potrebbe essere soggetto al dirottamento di schemi e potrebbe non essere in realtà l'app che ci si aspettava di caricare. Carica sempre l'applicazione manualmente prima di inserire le credenziali.

    
risposta data 02.09.2015 - 12:26
fonte

Leggi altre domande sui tag