L'accesso all'applicazione bancaria perde informazioni

Sì, questo è imperfetto in due modi:

1. Consente a un utente malintenzionato di enumerare i nomi utente semplicemente provandoli e controllando la risposta.
2. Consente a un utente malintenzionato di ottenere l'immagine "segreta" utilizzando un'informazione non segreta. Questo non significa assolutamente nulla in termini di sicurezza, ed è semplicemente teatro.

Inoltre, posso vedere un altro potenziale buco: l'autore dell'attacco potrebbe non aver nemmeno bisogno di scaricare le immagini. Se tutto ciò che ti serve è un nome utente valido, che cosa impedisce all'hacker di creare una pagina di phishing che utilizza lo stesso meccanismo del sito reale per recuperare l'immagine dal server della banca reale?

L'implementazione corretta sarebbe avere due token di autenticazione e mostrare solo l'immagine dopo che uno di essi è stato inserito correttamente. Questo di solito viene fatto tramite una password e una "parola segreta", ma potresti anche usare un secondo fattore strong come un token hardware.

L'idea alla base di questo è che impedisce un semplice attacco di phishing statico, quindi solleva la barra per richiedere un codice leggermente più complesso per costruire il sito di phishing. Se fatto "correttamente" l'immagine non dovrebbe essere l'unica immagine sulla pagina e dovrebbe avere un ID assegnato in modo casuale. In teoria, ciò richiede più impegno per phishing della pagina, ma non aggiunge nulla di particolarmente significativo dal punto di vista della sicurezza, poiché in realtà non impedisce che venga fatto. In pratica, tuttavia, rende un sito di phishing che passa attraverso lo sforzo di rendere l'immagine molto più credibile agli utenti. C'è un bel paper sull'argomento se vuoi leggere ulteriormente.

Il difetto più grande è che un tale sistema richiede che venga mostrata un'immagine per qualsiasi nome utente valido. Dovrebbero presentare un'immagine coerente per qualsiasi nome utente non utilizzato, in modo che le informazioni sui nomi utente validi non siano trapelate. Questa è la preoccupazione ben più grande. La cosa immagine non è davvero una preoccupazione in sé, dal momento che non danneggia nulla da sola, ma il problema del nome utente è un enorme aumento della superficie di attacco poiché rimuove un intero sconosciuto.

Dalla pagina di Wikipedia a cui Rory McCune ha collegato:

A Harvard study found SiteKey 97% ineffective. In practice, real people don't notice, or don't care, when the SiteKey is missing, according to their results.

SiteKey is designed to prevent users from disclosing their login credentials to a phishing site. The rationale is that a phishing site wouldn't have the SiteKey info for a user. The obvious flaw in the design is that a phishing site can get the correct SiteKey info from the genuine site, then serve it to the user, "proving" its legitimacy. SiteKey is thus susceptible to a man-in-the-middle attack.

It also requires users to keep track of more authentication information. Someone associated with N different websites that use SiteKey must remember N different 4-tuples of information: (site, username, phrase, password).

Non pensare che avrei potuto dirlo meglio anch'io. In conclusione, se la barra degli indirizzi non diventa verde quando apri la pagina principale del tuo sito bancario (una funzionalità della maggior parte delle versioni attuali del browser che indica che il sito ha presentato un certificato EV-SSL valido e altamente affidabile), non inserire le tue credenziali Qualsiasi altra cosa il sito possa fornirti personalmente per dimostrare la sua validità è troppo facilmente falsificabile.

Non vedo come questa configurazione sarebbe più vulnerabile agli attacchi di phishing rispetto ad altri schemi di autenticazione. Questo metodo di autenticazione non semplifica gli attacchi di phishing, ma può renderlo tecnicamente più impegnativo costringendo l'attaccante a compiere il passo della visita del sito per far visualizzare le immagini sul proprio sito Web falso, ma è qualcosa che un abile attaccante non avrebbe problema

Questo non è un buon metodo in quanto non migliora la sicurezza del banking di un utente, ma non è meno sicuro della semplice autenticazione di username / password.

Tieni presente che se un utente malintenzionato con le giuste abilità ha il nome utente di una banca e il suo indirizzo email, è probabile che abbia una buona possibilità di orchestrare un attacco di phishing mirato con successo, indipendentemente dalle contromisure della banca.

Il difetto principale qui è che il sito risponde, come dice @mckiethanks nei commenti, "Controlla nome utente" per nomi utente sconosciuti. Ciò consente a un utente malintenzionato di ottenere un'informazione utile, ad esempio il nome utente in primo luogo. Il modo intelligente per la banca di progettarlo sarebbe quello di rispondere ad ogni tentativo con una serie di immagini, indipendentemente dal fatto che il nome utente esista o meno.