バンキングアプリケーションのログイン情報が漏洩する

これの背後にある考え方は、単純な静的なフィッシング攻撃を防ぐため、フィッシングサイトを構築するために少し複雑なコードを要求するための基準を引き上げることです。 「適切に」行われた場合、画像はページ上の唯一の画像ではなく、ランダムに割り当てられたIDを持つ必要があります。理論的には、これによりページをフィッシングするためにより多くの労力が必要になりますが、実際にはページの実行を妨げないため、セキュリティの観点から特に意味のあるものは追加されません。ただし、実際には、ユーザーがイメージを引き寄せようとするフィッシングサイトを作成します。さらに読みたい場合は、トピックにニース paper があります。

より大きな欠点は、そのようなシステムでは、有効なユーザー名の写真を表示する必要があることです。有効なユーザー名に関する情報が漏洩しないように、未使用のユーザー名について一貫した画像を提示する必要があります。これははるかに大きな懸念です。画像自体は何も害しないので、画像自体はそれほど問題ではありませんが、ユーザー名の問題は、未知のもの全体を削除するため、攻撃対象が大幅に増加します。

Rory McCuneがリンクしたWikipediaページから：

ハーバード大学の研究では、SiteKeyが97％無効であることがわかりました。実際には、SiteKeyが見つからない場合でも、実際の人は気づかないか気にしません。

SiteKeyは、ユーザーがログイン認証情報をフィッシングサイトに開示できないように設計されています。その理由は、フィッシングサイトにはユーザーのSiteKey情報がないためです。設計の明らかな欠陥は、フィッシングサイトが正規のサイトから正しいSiteKey情報を取得し、それをユーザーに提供して、その正当性を「証明」することです。したがって、SiteKeyは中間者攻撃の影響を受けます。

また、ユーザーはより多くの認証情報を追跡する必要があります。 SiteKeyを使用するN個の異なるWebサイトに関連付けられている人は、N個の異なる4タプルの情報（サイト、ユーザー名、フレーズ、パスワード）を覚えておく必要があります。

自分でもっと上手く言えたとは思わないでください。結論として、銀行サイトのフロントページを開いたときにアドレスバーが緑色に変わらない場合（最新のブラウザーバージョンの機能は、サイトが有効で信頼性の高いEV-SSL証明書を提示したことを示しています）、入力しないでください。資格情報。サイトが個人的にあなたにその有効性を証明するために提供できるものは何でも簡単になりすましすぎます。

この設定が他の認証方式よりもフィッシング攻撃に対してどのように脆弱になるかはわかりません。この認証方法はフィッシング攻撃を容易にするものではありません。偽のWebサイトに画像を表示するためにサイトにアクセスするステップを攻撃者に強制することにより、技術的に困難になる可能性がありますが、熟練した攻撃者にはこれはありません問題を実行します。

これは、ユーザーの銀行業務のセキュリティを向上させないため、良い方法ではありませんが、単純なユーザー名/パスワード認証ほど安全ではありません。

適切なスキルを持つ攻撃者が誰かの銀行のユーザー名を持ち、その電子メールアドレスの可能性が高い場合、銀行の対策に関係なく、標的型フィッシング攻撃を成功させる可能性が高いことに注意してください。

ここの主な欠陥は、@ mckiethanksがコメントで「ユーザー名を確認してください」と不明なユーザー名に応答することです。これにより、攻撃者は有用な情報、つまり最初にユーザー名を取得できます。銀行がそれを設計するためのスマートな方法は、ユーザー名が存在するかどうかにかかわらず、一連の写真ですべての試みに応答することです。