Sembra che tu sia preoccupato che i tuoi utenti inseriscano le loro credenziali su un'altra pagina rispetto alla tua vera pagina di accesso. Nel tuo caso questo è dovuto al fatto che l'applicazione web è compromessa, ma questo è più comunemente raggiunto dagli attacchi di phishing, quindi potresti voler esaminare le soluzioni contro il phishing.
Esistono due modi per garantire che gli utenti effettuino l'autenticazione solo nel dominio corretto:
-
Token hardware U2F . Questo è un dongle USB con una chiave crittografica su di esso.
- Utilizzo di un gestore di password che esegue solo il caricamento automatico delle credenziali quando si trova nel dominio corretto.
- Addestrare gli utenti a riconoscere le pagine di phishing, come controllare l'URL.
Modifica: l'utilizzo dell'autenticazione a due fattori come TOTP o i token SMS non impediscono il phishing, poiché la pagina di phishing può anche chiederli. Lo rende un po 'più difficile dal momento che l'utente malintenzionato può accedere solo una volta con le credenziali catturate.
U2F è diverso sotto questo aspetto, a causa della crittografia. Il token crea una firma del nome di dominio. Le credenziali catturate funzionano solo sulla pagina di phishing e non sulla pagina di accesso reale, quindi l'utente malintenzionato non può accedere.