¿Cómo puede asegurarse de que un usuario sepa que están en su sitio web?

Question

La charla de la ciudad de Internet hoy en día es la SNAFU que llevó a docenas de usuarios de Facebook dirigidos por la búsqueda de Google a un artículo en ReadWriteWeb sobre el acuerdo de Facebook-AOL. Lo que siguió en el comments tread se está convirtiendo rápidamente en la leyenda de Internet.

Sin embargo, detrás de la hilaridad es un hecho aterrador que esta podría ser la forma en que los usuarios navegan a todos los sitios, incluidos sus bancos y otros sitios más importantes. Una búsqueda rápida para "iniciar sesión en el sitio web de mi banco" y rápidamente hacer clic en el primer resultado. Una vez que están allí, el usuario está dispuesto a enviar sus credenciales a pesar de que el sitio no se parece en nada al sitio al que intentaron llegar. (Esto se evidencia por el hecho de que los comentarios de los usuarios están conectados a sus cuentas de Facebook a través de facebook-connect)

La prevención de este escenario está fuera de nuestro control y educar a nuestros usuarios sobre los principios básicos de la navegación en Internet puede ser igual de imposible . Entonces, ¿cómo podemos garantizar que los usuarios sepan que están en el sitio web correcto antes de intentar iniciar sesión? ¿Es suficiente algo como Bank of America's SiteKey, o se trata de otro colapso que devuelve la responsabilidad al usuario?

Answer 1

Cuando configuré mi cuenta bancaria en línea, me pidió que eligiera una selección de imágenes. La imagen que elegí ahora se me muestra cada vez que inicio sesión. Esto me asegura que estoy en el sitio web correcto.

EDIT: Acabo de leer el enlace de la BoA SiteKey, esto es al parecer lo mismo (que sonaba desde el nombre como un dispositivo de seguridad de desafío-respuesta)

supongo que la mejor respuesta sería un dispositivo de hardware que se requirió un código del banco y del usuario y autenticó ambos. Pero cualquiera de estas cosas asume que las personas realmente están pensando en el problema, lo que por supuesto no es cierto. Esto estaba sucediendo antes de que la banca por Internet fuera común: tuve un amigo al que le robaron la billetera en los años 90, y la llamó para fingir que era su banco y la persuadió de revelar su PIN ...

Answer 2

El sitio podría "personalizar" a sí mismo mostrando cierta información personal, fácil de reconocer por el usuario, en cada página. Hay muchas formas de implementarlo. El más obvio: en la primera visita, el sitio requiere que el usuario cargue algún avatar, y agrega el ID del usuario a las cookies. Después de eso, cada vez que el usuario navega por el sitio , se muestra el avatar.

Answer 3

Cuando el usuario primeras visitas al sitio y entra, que pueden compartir algunos datos personales (incluso algo muy trivial) que los sitios impostor no podría posible know - mascota de la escuela secundaria, en la primera calle vivió, etc.

Si alguna vez hay dudas sobre la autenticidad del sitio, el sitio podría compartir esta información con el usuario.

Me gusta en programas de TV/películas con el gemelo malvado. El gemelo bueno siempre gana confianza al compartir un secreto que solo la persona que está tratando de descubrir quién es el gemelo bueno sabrá.

Answer 4

Internet y los navegadores web solían tener un par de características geniales que en realidad podrían tener cierta aplicabilidad allí.

Uno era algo llamado "nombres de dominio". En lugar de ingresar el nombre del sitio web en el sitio correcto de su barra de herramientas, había otro campo de texto más grande a la izquierda donde podía ingresarlo. En lugar de buscar en una base de datos patentada de Google que se ejecuta en vastas granjas de Magic 8-Balls, este arcano "campo de direcciones" consultó un registro autorizado de "nombres de dominio" y lo guiaría al sitio correcto cada vez.Lamentablemente, algunas veces requirió ingresar hasta caracteres adicionales! Esta carga era demasiado para la mayoría de los usuarios, y esta característica engorrosa ha sido abandonada.

Otra cosa que solía ver en los navegadores fue algo que se llama un "marcador." Los etimólogos todavía están tratando de determinar dónde se originó el término "marcador". Sospechan que tiene algo que ver con el papel con curiosos garabatos. De todos modos, estos marcadores permitieron a los usuarios crear un botón que los llevaría directamente al sitio web de interés. Por supuesto, crear un marcador fue un proceso tedioso e intimidante, que a veces requería hasta dos clics de menú, — o peor aún, ¡uso de la tecla Ctrl!

Ah, las maravillas de los antiguos.

Answer 5

No se puede evitar el phishing per se, sino que puede tomar varias medidas cada una de las cuales hacen un poco para mitigar el problema.

1) Si usted tiene algo así como teclas sitio o un sello de acceso, asegúrese de que éstos no pueden ser iframes en un sitio web malicioso. Simplemente el framebusting de JavaScript puede no ser suficiente ya que IE tiene security = "restricted".

2) Ser muy constante sobre la manera de pedir las credenciales de usuario - servir a la forma de la conexión a través de SSL (no sólo después de la vuelta a través de SSL). No solicite iniciar sesión en varios lugares o sitios. Aliente a los terceros que desean trabajar con los datos del usuario almacenados en su sitio a usar OAuth (en lugar de tomar la contraseña de su usuario).

3) Nunca se debe solicitar información a través de correo electrónico (con o sin enlace).

4) Tener una página de seguridad, donde se habla de estos temas.

5) Enviar una notificación sobre los cambios en teléfono registrado, correo electrónico, etc.

Aparte de lo alto, monitor de actividad de la cuenta de usuario - como los cambios de información de contacto, la seguridad Q & A, acceso, etc (tiempo de señalar, ip, y hay varias técnicas sutiles).