Perché le banche continuano a sfruttare la funzionalità di autocomplete = off?

5

Con Bug # 1025703 nell'ultimo Firefox 38, Mozilla ha finalmente deciso di difendere utenti invece di rivolgersi alle banche che non vogliono che le password vengano ricordate.

Tuttavia, ho notato circa un anno fa circa che il bookmarklet remember-password ha smesso di funzionare su siti oh-so-many, specialmente quelli bancari, a causa di alcuni trucchi javascript aggiuntivi, quindi, non è chiaro quale sia il cambiamento di cui sopra, forse solo per rimuovere e ripulire una funzione che è stata a lungo ridondante e rotta.

Ma la persistenza delle aziende che cercano di non ricordare le password contribuisce indubbiamente alla facilità con cui gli attacchi di pesca possono essere eseguiti - se i loro utenti sono abituati a inserire le loro password quando ritornano in una scheda dopo 15 minuti di inattività in un dato scheda, per un capriccio, la pesca è molto più facile quando sono tutti pronti e disponibili. Confrontalo con l'approccio Password Manager, che memorizza in modo sicuro le password all'interno, ed è praticamente garantito dalla progettazione per rivelarle solo ai siti web corretti.

Quindi, perché le banche continuano a fare questo, il gioco del mouse e del gatto per impedire che le password vengano salvate in Gestione password? I gestori di password non sono un buon modo per garantire che non si possa effettuare alcuna attività di pesca sui propri clienti, in quanto non conoscono nemmeno le proprie password?

    
posta cnst 21.05.2015 - 07:20
fonte

3 risposte

5

Mentre ci sono aspetti della verità in ciò che dici, devi guardare al quadro più ampio e guardare dove le banche hanno responsabilità e rischi. Le banche cercano di ridurre al minimo il rischio fino a un certo livello (ad esempio, c'è un appetito fraudolento che viene accettato dalle banche, per cercare di ridurne ulteriormente i costi, diventando rapidamente impraticabile) e molti di questi driver sono in conflitto con i requisiti dell'esperienza utente .

Inoltre, i requisiti tecnici costituiscono una buona parte del profilo di rischio e della propensione per una banca. In modo che porti anche a compromessi.

Consentire ai dispositivi utente di archiviare le credenziali potrebbe essere un modo per gli aggressori di ottenere un accesso ancora più semplice rispetto all'attuale percentuale di successo del phishing, quindi, a meno che non si disponga di un set rigoroso di standard con cui funzionano tutti i gestori di password, che possono anche essere controllati e controllati valutato dalle banche, sei in una posizione in cui potresti migliorare la sicurezza ma potresti diminuirla.

Il caso peggiore per le banche è che la sicurezza si riduce, gli account dei clienti vengono attaccati e le banche ne sono responsabili.

Quindi mantenere l'onere sul cliente di controllare le proprie credenziali è generalmente considerato migliore per la maggioranza dei clienti, e la banca nel suo insieme, mentre per alcuni clienti sarà peggio. E per quei clienti, possono migliorare la loro sicurezza attraverso un training di sensibilizzazione.

    
risposta data 22.05.2015 - 11:57
fonte
2

Le banche hanno perdite di denaro reale, una parte significativa di questo deriva dall'accesso non autorizzato ai conti bancari, quindi hanno incentivi finanziari per rendere più difficile per gli utenti perdere la loro password memorizzandola nel browser presso il loro Internet café / biblioteca / ecc.

    
risposta data 21.05.2015 - 16:01
fonte
2

Le banche sono in genere organizzazioni molto grandi, burocratiche guidate da politiche scritte da persone che hanno un buon significato, ma che non possono rispondere molto bene alle mutevoli minacce.

Gli attacchi di phishing sono peggiori delle macchine compromesse in cui la password viene rubata? Non ne sono sicuro, ma è una discussione valida. Salvare la password localmente è facile da capire, e per anni alle persone è stato dato il consiglio "non scrivere la password su un pezzo di carta" (anche se questo è probabilmente un cattivo consiglio in un mondo in rete con diverse minacce). Il phishing è molto più difficile da capire ed è probabile che una banca possa pensare che la responsabilità esista sul cliente perché "ha fatto qualcosa" mentre un compromesso informatico sarebbe stato più difficile da imputare al cliente.

Se le banche riflettessero profondamente sulla sicurezza, offrivano l'autenticazione a 2 fattori come fa GMail. È un esercizio banale, ma finora ho visto solo una banca offrire questo. Dal momento che la maggior parte delle banche non offre questo, posso solo capire che non hanno persone estremamente sofisticate che sono disposte a spingere verso livelli di sicurezza più elevati, e pensano ai modelli di minaccia contro di loro.

    
risposta data 22.05.2015 - 17:00
fonte

Leggi altre domande sui tag