なぜ銀行はまだautocomplete = off機能をハックアップしているのですか?
最新のFirefox 38で Bug#10257 を使用して、Mozillaはパスワードを記憶させたくない銀行に対応するのではなく、ようやくユーザーの立場に立つことを決定しました。
ただし、約1年ほど前に、remember-passwordブックマークレットがずっと多くのサイトで機能しなくなっていることに気づきました。特に銀行のものは、いくつかの余分なJavaScriptトリックのため、上記の変更の目的が明確ではありません。冗長で壊れていた機能を削除してクリーンアップするためだけかもしれません。
しかし、パスワードを覚えさせないようにする企業の粘り強さは、間違いなく釣り攻撃を実行するのが容易になる一因となります-ユーザーが特定のタブで15分間何も操作しないでタブに戻ったときにパスワードを入力することに慣れている場合、気まぐれなことに気づくと、準備ができて喜んでいると、釣りがとても簡単になります。これを、パスワードを安全に格納するPassword Managerのアプローチと比較してください。これは、設計によって、正しいWebサイトにのみパスワードを公開することがほぼ保証されています。
では、なぜ銀行はこれを続けているのでしょうか?パスワードマネージャーにパスワードが保存されないようにするマウスと猫のゲームですか?パスワードマネージャーは、自分のパスワードさえ知らないため、顧客に対して釣りを実行できないようにするための良い方法ではありませんか?
あなたが言うことには真実の側面がありますが、全体像を見て、銀行がどこに負債とリスクを持っているかを見なければなりません。銀行はリスクを特定のレベルにまで最小化することを検討しており(たとえば、ますますコストを削減し、コストを削減しようとするため、銀行によって受け入れられる不正食欲があり、急速に機能しなくなる)、これらの要因の多くはユーザーエクスペリエンスの要件と競合します。 。
さらに、技術的要件は、リスクプロファイルと銀行に対する食欲のかなりの部分を形成します。したがって、それはトレードオフにもつながります。
ユーザーデバイスが資格情報を保存できるようにすることで、攻撃者が現在のフィッシング成功率よりもさらに簡単にアクセスできるようになる可能性があります。そのため、すべてのパスワードマネージャーが機能する厳密に実施された一連の標準がない限り、監査や評価も可能です。銀行、あなたはあなたがセキュリティを改善しているかもしれないがあなたはそれを減少させているかもしれない立場にいます。
銀行にとって最悪のケースは、セキュリティが低下し、顧客のアカウントが攻撃され、銀行がその責任を負うことです。
そのため、クレデンシャルを管理する責任を顧客に維持することは、大部分の顧客にとっても銀行全体にとっても一般的には良いと考えられていますが、一部の顧客にとってはそれはさらに悪いでしょう。そして、それらの顧客のために、彼らは意識トレーニングによって彼らのセキュリティを改善することができます。
銀行は通常、非常に大規模な官僚組織であり、人々が書いたポリシーによって推進されていましたが、意味がありましたが、脅威の変化にはあまり対応できません。
フィッシング攻撃は、パスワードが盗まれた侵害されたマシンよりも悪いですか?よくわかりませんが、それは妥当な議論です。パスワードをローカルに保存することは簡単に理解でき、何年もの間、「パスワードを紙に書き留めないでください」というアドバイスを受けてきました(これは、さまざまな脅威が存在するネットワーク化された世界では不十分なアドバイスです)。フィッシングは理解するのがはるかに難しく、銀行は顧客が「何かをした」ので顧客に責任があると考えているかもしれませんが、コンピュータの侵害は顧客を突き止めるのが難しいでしょう。
銀行がセキュリティについて本当に深く考えている場合、GMailのように2要素認証を提供します。これは些細なことですが、これまでのところ、これを提供している銀行は1つだけです。ほとんどの銀行はこれを提供していないため、私は、より高いレベルのセキュリティを推進する意欲のある非常に洗練された人々がいない銀行を集め、それらに対する脅威モデルについて考えることができます。
銀行には実際のお金の損失があります。これのかなりの部分は銀行口座への不正アクセスに起因するため、ユーザーがローカルのインターネットカフェ/ライブラリなどのブラウザーにパスワードを保存することでパスワードを紛失しにくくする金銭的インセンティブがあります。