Sottodomini una possibile difesa dal phishing [duplicato]

Naviga le tue risposte
-1

Visto che il phishing sta diventando sempre più popolare e gli utenti stanno diventando meno preoccupati per la sicurezza, sto cercando di trovare una soluzione per un nuovo sito che possa bloccare i phisher. Ad esempio, chiunque può creare un nuovo sito che assomigli esattamente a Gmail e agli utenti di phish per ottenere il loro UN / PW.

Tuttavia, cosa succede se l'utente ha selezionato il suo sottodominio al momento della registrazione? Possono accedere solo su questo sottodominio, ad es. mysubdomainchoice.domain.com. Ora, quando il phisher ottiene le credenziali da un utente innocente, non sa più dove può applicarle. Dopo diversi tentativi di accesso non validi possiamo bloccare in sicurezza l'utente e fare in modo che cambino il loro un / pw se arrivano al sottodominio corretto e rispondono alle loro domande di sicurezza.

È un modo valido per difendersi dal phishing e altri hanno pensato a questo prima?

    
posta ElectricSignal 12.10.2013 - 22:39
fonte

1 risposta

1

Nel modo in cui l'hai descritto, il nome del dominio secondario è un'altra forma di credenziale, come un nome utente o una password. Quindi è come se l'utente fosse sfidato con 3 input, invece di 2. Che è un po 'meglio, ma non è un grosso problema.

Non appena i phisher sanno che il sistema funziona in questo modo, inizieranno anche il phishing per il sottodominio. Ed è peggio di chiedere semplicemente un passcode aggiuntivo, perché provare ad accedere al sottodominio è come dare conferma che è vivo. La sicurezza per oscurità non è una buona pratica,

Bene, però stai pensando fuori dagli schemi!

    
risposta data 13.10.2013 - 12:56
fonte

Leggi altre domande sui tag

Esecuzione dello script PHP WeService facendo clic su un collegamento all'interno di un'e-mail smart card a prova di accesso fisico per la crittografia del disco [chiusa]