Il prompt di accesso per il mio sito di rimborso del prestito studentesco ha due parti. Per prima cosa inserisci il tuo nome utente, quindi ti mostra un'immagine e una richiesta di password. Ho scelto l'immagine quando ho creato per la prima volta il mio account da poche altre immagini potenziali. Tuttavia, non vedo come ciò accresca la sicurezza dell'account. Cosa sta succedendo qui?
Presumo che questa sia una forma di autenticazione reciproca. Ti viene mostrata un'immagine che hai selezionato in precedenza. In questo modo puoi avere fiducia che i dati in arrivo siano fornitori di servizi originali. Non sono sicuro per l'efficacia dello stesso specialmente in un attacco MiTM.
Sembra una specie di captcha che serve a impedire ai trojan bancari di accedere al tuo account di prestito studente. Questi trojan sono una sorta di malware che viene scritto per catturare le credenziali di accesso degli utenti. Nel caso in cui vieni infettato e le tue credenziali vengano rubate, il trojan dovrebbe anche inserire il captcha.
Tuttavia, in questo caso, se l'immagine "captcha" è la stessa ogni volta, il trojan o il malware bancario finirà per eseguire il keylogging anche della parola captcha ("http:") e non esiste una reale protezione efficace contro il bot che effettua il login poiché sa anche qual è la parola captcha.
Sembra che qualcuno abbia avuto l'idea giusta ma l'implementazione è difettosa.
Un'altra possibilità, come qualcuno ha sottolineato, è che si intende proteggere dalle pagine di phishing mascherate da banca. Anche se possono rendere la pagina simile alla pagina di accesso al prestito studentesco, quell'immagine viene estratta da un database in base a ciò che hai selezionato in precedenza. Non è possibile per un utente malintenzionato sapere se si tratta di un tentativo di phishing generico rivolto a molti utenti. Si nota la mancanza di un'immagine o presenza di immagini errate e si evita di rinunciare alle proprie credenziali su una pagina di phishing.
Leggi altre domande sui tag authentication passwords