Uno dei tuoi link si riferisce a SiteKey (BOA): in realtà c'è uno studio interessante condotto dalla Harvard University e che ti consiglio di leggere I nuovi indicatori di sicurezza dell'imperatore: una valutazione dell'autenticazione del sito web e l'effetto del role playing sugli studi di usabilità .
In primo luogo, questa tecnica è stata vista come una strategia di difesa approfondita destinata principalmente a sventare attacchi di phishing . Tuttavia, studi come quello che abbiamo menzionato, mostrano che questa tecnica è una misura senza valore in quanto è meno efficace di quanto si possa pensare.
In realtà, lo studio empirico di cui sopra, ad esempio, prova che gli utenti sono stati attaccati con due tipi di attacchi: attacchi di phishing e MITM attacchi (stripping SSL).
Lo studio sopra è stato eseguito su 3 gruppi di utenti:
- Groupe 1: usres esegue attività bancarie utilizzando le proprie credenziali sul proprio sito Web bancario
- Gruppo 2: gli utenti eseguono attività bancarie ogni domenica pomeriggio
- Gruppo 3: simile al Gruppo 2 ma agli utenti sono state insegnate ulteriori istruzioni per comportarsi in modo sicuro.
I ricercatori (che hanno svolto il ruolo di un utente malintenzionato) hanno offerto pagine di accesso con immagini di sicurezza in cui https:// è sostituito da http:// : tutti (i tre gruppi) hanno digitato le proprie credenziali.
Quando gli autori dell'attacco sono stati rimossi, le immagini di autenticazione sono state rimosse e sostituite con messaggi di avviso come Questo servizio è stato aggiornato , il 99% degli utenti (compresi quelli che hanno insegnato i comportamenti di sicurezza) ha digitato le loro credenziali.
Conclusione: poiché le immagini di sicurezza non soddisfano ciò che dovrebbero impedire, alcune applicazioni online hanno deciso di utilizzare qualcos'altro.
