Как можно удостовериться, что пользователь знает, что они находятся на веб-сайте?
Разговором об интернет-городе сегодня является ПУТАНИЦА, которая привела к десяткам пользователей Facebook, являющихся во главе с поиском Google к статье о ReadWriteWeb о соглашении Facebook-AOL. То, что последовало в шаге комментариев, быстро становится материалом интернет-легенды.
Однако позади веселья страшное то, что это могло бы быть то, как пользователи просматривают на все сайты, включая их банковское дело и другие более важные сайты. Быстрый поиск "моего входа в систему веб-сайта банка" и быстро нажимает первый результат. После того как они там, пользователь готов отправить их учетные данные даже при том, что сайт не смотрит ничто как сайт, которого они пытались добраться. (Это свидетельствуется тем, что комментарии пользователя подключены к своим аккаунтам в Facebook через подключение Facebook),
Предотвращение этого сценария в значительной степени находится вне нашего контроля, и обучение наших пользователей на основах интернет-просмотра может быть столь же невозможным. Таким образом, как затем мы можем удостовериться, чтобы пользователи знали, что они находятся на корректном веб-сайте прежде, чем попытаться войти в систему? Похож на что-то достаточный SiteKey Bank of America, или, что другая отговорка, которая перекладывает ответственность назад на пользователе?
5 ответов
У Интернета и веб-браузеров раньше была пара классных функций, которые могут быть применимы и здесь.
Одна из них называлась "доменные имена". Вместо ввода названия сайта в правой части панели инструментов, слева было другое, более крупное текстовое поле, в которое можно было его ввести. Вместо поиска в собственной базе данных Google, работающей на огромных фермах Magic 8-Balls, это загадочное поле "адрес" обращалось к авторитетному реестру "доменных имен" и каждый раз приводило вас к нужному сайту. К сожалению, иногда требовалось ввести до 8 дополнительных символов! Это бремя оказалось слишком тяжелым для большинства пользователей, и от этой громоздкой функции отказались.
Еще одна вещь, которую можно было встретить в браузерах, называлась "закладка". Этимологи до сих пор пытаются определить, откуда взялся термин "закладка". Они подозревают, что он имеет отношение к бумаге с забавными загогулинами на ней. В любом случае, эти закладки позволяли пользователям создавать кнопку, которая вела их прямо на интересующий их веб-сайт. Конечно, создание закладки было утомительным, пугающим процессом, иногда требовавшим двух нажатий на меню - или, что еще хуже, использования клавиши Ctrl!
Ах, чудеса древних.
Когда я создавал свой банковский счет в Интернете, мне было предложено выбрать одно из изображений. Теперь изображение, которое я выбрал, показывается мне каждый раз, когда я вхожу в систему. Это убеждает меня в том, что я нахожусь на правильном сайте.
EDIT: я только что прочитал ссылку о BoA SiteKey, это, очевидно, то же самое (судя по названию, это похоже на донгл с вызовом и ответом)
Я полагаю, что лучшим ответом было бы аппаратное устройство, которое требовало бы код от банка и пользователя и аутентифицировало обоих. Но любая из этих вещей предполагает, что люди действительно думают о проблеме, чего, конечно, не происходит. Это происходило еще до того, как интернет-банкинг стал обычным делом - у меня была подруга, у которой украли кошелек в 90-х годах, и преступник позвонил ей, притворившись ее банком, и убедил ее раскрыть свой PIN-код...
Когда пользователь впервые посещает сайт и входит в систему, он может поделиться какой-либо личной информацией (даже очень тривиальной), которую сайты-самозванцы не могли бы узнать - талисман средней школы, первая улица, на которой он жил, и т.д.
Если когда-нибудь возникнет вопрос о подлинности сайта, сайт может передать эту информацию обратно пользователю.
Как в телешоу/фильмах со злым близнецом. Добрый близнец всегда завоевывает доверие, делясь секретом, который знает только тот, кто пытается выяснить, кто же этот добрый близнец.
Вы не можете предотвратить фишинг как таковой, но вы можете предпринять несколько шагов, каждый из которых немного смягчит проблему.
1) Если у вас есть что-то вроде ключа сайта или печати для входа, убедитесь, что они не могут быть размещены на вредоносном веб-сайте. Простой настройки кадра javascript может быть недостаточно, так как IE имеет security = "limited".
2) Будьте очень последовательны в том, как вы запрашиваете учетные данные пользователя - обслуживайте форму входа через SSL (а не только обратную передачу через SSL). Не запрашивайте логин на нескольких местах или сайтах. Поощряйте третьи стороны, которые хотят работать с пользовательскими данными, хранящимися на вашем сайте, использовать OAuth (вместо того, чтобы брать ваш пароль пользователя).
3) Никогда не запрашивайте информацию по электронной почте (со ссылкой или без нее).
4) Создайте страницу безопасности, на которой вы говорите об этих проблемах.
5) Отправлять уведомление об изменениях в зарегистрированном телефоне, электронной почте и т. Д.
Помимо вышеуказанного, отслеживать активность учетной записи пользователя - например, изменения контактной информации, вопросы и ответы по безопасности, доступ и т. Д. (Отмечая время, IP-адрес и т. Д. несколько тонких техник).
Сайт мог бы "персонализировать" себя, показывая некоторую личную информацию, легко узнаваемую пользователем, на каждой странице. Есть много способов реализовать это. Самый очевидный: при первом посещении сайт требует от пользователя загрузить какой-нибудь аватар, и добавляет id пользователя в cookies. После этого каждый раз, когда пользователь просматривает сайт, аватар будет отображаться.