Cosa mostra una guardia contro la "foto e la frase di sicurezza"? [duplicare]

Naviga le tue risposte
0

Un paio di siti finanziari che uso hanno una "immagine di sicurezza" (qualche piccola foto a caso) e "frase di sicurezza" (qualcosa che scrivo a riguardo). Due di loro lo fanno in modo diverso, tuttavia: uno chiede il mio nome utente / password, quindi nella pagina successiva mostra la frase / foto e mi chiede alcune altre informazioni (a la "Nome del primo animale domestico"). L'altro chiede solo il mio nome utente, quindi nella pagina successiva mostra frase / foto e chiede la mia password.

Di quali tipi di attacchi non fa guardia? Se qualcuno stava creando un sito MitM falso, non potevano semplicemente inoltrare la frase / foto, o se sono CSRF semplicemente li omettono (allora si basa su di me per notare che non ci sono)?

    
posta Nick T 15.02.2016 - 04:07
fonte

1 risposta

-1

Normalmente questi siti web chiedono prima un nome utente / email all'accesso, quindi mostrano la tua immagine di sicurezza prima di chiedere la tua password . L'immagine è scelta dall'utente, dall'utente, da un pool di immagini durante la registrazione. Quindi, in pratica, ti impedisce di fornire la tua password a un clone malevolo di un sito web legittimo perché l'immagine scelta dall'utente reale probabilmente non corrisponderà all'immagine del sito dannoso (supponendo che provino a mostrartene una).

Se ti mostrano uno, è davvero a te che devi notare . Ma è per questo che combinano anche questa funzionalità con la domanda di sicurezza, che potrebbe anche essere la domanda sbagliata o completamente mancante (che dovresti anche notare).

Per rispondere alla domanda di inoltro delle foto, l'inoltro accurato dell'immagine / domanda di un sito finanziario sarebbe quasi impossibile. Ci sono due modi per farlo che posso pensare:

  1. Avrebbero bisogno di un elenco considerevole di utenti attivi e un elenco di domande / immagini che corrispondono a ciascun utente, quindi sperare che nessuno cambi la propria foto di sicurezza o le domande in qualsiasi momento. Questo è qualcosa che fondamentalmente richiederebbe l'accesso al database del sito web finanziario o un dump di dati di quel database.

  2. L'unica ovvia alternativa sarebbe quella di trovare una vulnerabilità nell'applicazione web che consenta loro di enumerare gli utenti, su cui la maggior parte dei siti Web finanziari proteggono. Avrebbero quindi bisogno di utilizzare alcune tecniche automatizzate per creare una lista abbastanza ampia di utenti noti. Da lì dovrebbero costruire una sorta di database mirror che collega questi utenti noti alle domande e alle foto di sicurezza.

Questi sono piuttosto poco pratici. Il modo più efficace (a mio parere) per contrastare le immagini e le frasi di sicurezza è sperare che gli utenti dimentichino che verranno chiesti, o accedere alla loro macchina ed eseguire key logging o screen grabbing perché non c'è motivo di creare un sito di phishing.

    
risposta data 15.02.2016 - 08:19
fonte

Leggi altre domande sui tag

Il gestore password memorizza le password in memoria se blocco il mio computer? Quale è meglio: rilevare lo spam al destinatario o alla fonte?