Potrei contrastare l'attacco di SiteKey MitM con l'identificazione utente-agente?

2

Trovo molto strano che il servizio di utilizzo della banca come SiteKey sia privo di identificazione da parte dell'utente. Ciò li rende ancora molto vulnerabili al attacco MitM che è esattamente quello che stanno cercando di proteggere contro con questa tecnica.

How a man in the middle attack works against an online bank. The user communicates with the the phisher, while believing that she is speaking to the bank. The phisher can use deceit to query the user for more information than the bank would normally ask for. Using this additional information, the phisher can communicate with the bank, while pretending to be the user.

Mi chiedevo se l'utilizzo dell'identificazione user-agent avrebbe aiutato contro l'attacco MitM.

L'idea dietro l'identificazione utente-agente è che si tratta di un segreto noto all'agente utente, come il browser, ma non noto all'utente. Questo fa la differenza perché l'utente-agente invierà il suo segreto solo al sito web reale, mentre un utente potrebbe scrivere il suo segreto su qualsiasi sito di phishing.

Esempio

Un esempio potrebbe essere impostare un cookie per identificare il browser tramite un link inviato in un'email a quell'utente. Quando l'utente accede al collegamento, imposta un cookie per il sito che desidera accedere.

Quindi, quando l'utente vuole accedere a quel sito, il sito controlla se il browser che l'utente sta usando ha quel cookie specifico.

Se lo fa, il sito mostra la frase e l'immagine di SiteKey. Se non lo fa, il sito chiede all'utente di identificare il suo browser.

Glossario

  • Utente : la persona che sta tentando di accedere a un sito web. Esempio: tu
  • Agente utente : è lo strumento che l'utente utilizza per accedere a un sito web. Esempio: un browser
  • Segreto agente utente : qualcosa che è conosciuto dall'agente utente, ma non necessariamente dall'utente. Esempio: un cookie
  • Identificazione agente utente : il processo tramite il quale il sito Web a cui l'utente sta tentando di accedere convalida che un agente utente specifico è autorizzato ad accedere a questo sito web con quel nome utente specifico. Esempio: convalidando che un cookie contenente un codice segreto associato al nome utente è impostato su quel browser

Note aggiuntive

SSL / TLS : Certo che ti serve perché non c'è sicurezza senza di esso ...

Perché è necessario impostare il cookie tramite un collegamento email?

Se leggi su SiteKey, scoprirai che stanno effettivamente cercando di fare l'identificazione degli user-agent usando un cookie! Ma sono in mancanza ...

Why does BoA allow users to get access to their SiteKey image after answering her security questions? The reason is simple. Normally, BoA knows to present the right SiteKey image to a user because it recognizes the computer that user logs in from as belonging to the user in question. This is done using secure cookies. But what happens if there are no cookies? Say that the user wants to log in to her BoA account from a computer that she has not successfully used to connect to BoA's website with before. Before sending the SiteKey image to the user, BoA will require the user to provide some evidence of her identity - the answers to the security questions. Once BoA receives these, and has verified that they are correct, then it will send the user's SiteKey image to the user. That allows the user to verify that it is really communicating with BoA, and not an impostor, which in turn, provides the user with the security to enter her password.

Il problema è che il modo per dimostrare l'identità dell'utente è ponendogli una domanda ... Il sito di phishing può quindi porre direttamente questa domanda all'utente ed è game over.

È diverso se il cookie è impostato da un link in un'email. Se il sito Web non riconosce il broswer, invierà una e-mail all'utente. Ciò significa che, a meno che l'autore dell'attacco, il sito di phishing, non abbia accesso all'e-mail dell'utente, non può impostare il cookie, quindi non può impersonare l'utente.

È anche importante che il cookie sia impostato visitando un link e non scrivendo un codice segreto che ricevi via email. Se non ti puoi fidare che l'utente inserisca la sua password nel sito giusto, puoi fidarti di lui per inserire il codice nel sito giusto?

Altri link interessanti

Come viene chiamato questo metodo / approccio di autenticazione?

SiteKey è una difesa valida contro il phishing?

    
posta Gudradain 19.08.2014 - 16:41
fonte

1 risposta

1

Anche se non sono sicuro al 100% di seguire la tua domanda, SiteKeys è progettato per prevenire il phishing in quanto il sito di phishing non conoscerà l'immagine personalizzata dell'utente o la parola / frase dell'utente che hanno associato a tale immagine.

Sebbene l'identificazione degli user-agent fornisca un po 'di sicurezza in determinate situazioni, in realtà non può fornire molta sicurezza in questa istanza.

La verifica agente-utente sarebbe utile, ad esempio, se stai eseguendo un'applicazione che invia una richiesta HTTP al tuo server. Per confermare che si tratta della tua app, puoi autenticarla con un agente utente unico per l'applicazione.

Ora, in base al tuo commento, vedo che ti riferivi a un cookie quando hai detto user-agent.

Che cosa fai se il cliente-banca vuole cambiare browser? O cosa succede se cancellano i loro biscotti? Ora improvvisamente non possono usare il sito web e non capiscono perché.

Inoltre, perché il MiTM non dovrebbe conoscere il cookie? Il cookie viene inviato all'interno del flusso TCP che sta monitorando. Quindi perché non dovrebbe vedere il cookie?

La tua migliore protezione contro un uomo nell'attacco centrale è usare SSL. SSL ti proteggerà da MiTM se confermi che non si verifica alcuna eliminazione di SSL. È impossibile impedire completamente a qualcun altro di intercettare e leggere le trasmissioni, ma SSL farà sì che ciò che leggono sia completo e senza senso. Ovviamente vorrai comunque i cookie e la verifica dei cookie, ma puoi considerare che i cookie siano pubblici anche perché vengono inviati con ogni richiesta.

Se accoppiate SiteKeys con SSL, avete teoricamente risolto MiTM e phishing.

    
risposta data 19.08.2014 - 17:46
fonte

Leggi altre domande sui tag