Frage Wie können Sie sicherstellen, dass ein Benutzer weiß, dass er sich auf Ihrer Website befindet?


Die Rede von der Internetstadt heute ist die SNAFU, die dazu führte, dass Dutzende von Facebook-Nutzern von der Google-Suche zu einem Artikel in ReadWriteWeb über den Facebook-AOL-Deal geführt wurden. Was folgte in der Kommentare treten wird schnell zum Zeug der Internet-Legende.

Hinter der Heiterkeit steht jedoch die beängstigende Tatsache, dass Nutzer auf diese Weise zu allen Websites, einschließlich ihrer Bank- und anderen wichtigen Websites, navigieren. Eine schnelle Suche nach "my bank website login" und schnell auf das erste Ergebnis klicken. Sobald sie dort sind, ist der Benutzer bereit, seine Anmeldeinformationen zu übermitteln, obwohl die Website der Website, die sie zu erreichen versucht, nicht ähnelt. (Dies wird durch die Tatsache bestätigt, dass Benutzerkommentare über facebook-connect mit ihren Facebook-Konten verbunden sind)

Die Verhinderung dieses Szenarios liegt weitgehend außerhalb unserer Kontrolle und die Aufklärung unserer Benutzer über die Grundlagen des Surfens im Internet ist genauso unmöglich. Wie können wir sicherstellen, dass die Benutzer wissen, dass sie sich auf der richtigen Website befinden, bevor sie sich anmelden? Ist so etwas wie SiteKey der Bank of America Genug, oder ist das eine andere Ausrede, die die Verantwortung wieder auf den Benutzer überträgt?


8
2018-02-12 16:38


Ursprung


Antworten:


Die Internet- und Web-Browser hatten einige coole Funktionen, die dort möglicherweise eine gewisse Anwendbarkeit haben.

Einer war etwas namens "Domain-Namen." Anstatt den Namen der Website auf der rechten Seite der Symbolleiste einzugeben, gab es auf der linken Seite ein weiteres, größeres Textfeld, in das Sie es eingeben konnten. Anstatt eine proprietäre Google-Datenbank zu durchsuchen, die auf riesigen Farmen von Magic 8-Balls läuft, konsultiert dieses geheimnisvolle "Adressfeld" eine autorisierende Registrierung von "Domain-Namen" und führt Sie jedes Mal zur richtigen Seite. Leider mussten Sie manchmal bis zu 8 zusätzliche Zeichen! Diese Belastung war für die meisten Benutzer zu groß, und dieses umständliche Merkmal wurde aufgegeben.

Eine andere Sache, die Sie in Browsern sahen, war etwas, das als "Lesezeichen" bezeichnet wurde. Etymologen versuchen immer noch herauszufinden, woher der Begriff "Lesezeichen" stammt. Sie vermuten, dass es etwas mit Papier mit lustigen Kringeln zu tun hat. Wie auch immer, diese Lesezeichen erlaubten es den Benutzern, eine Schaltfläche zu erstellen, die sie direkt zu der gewünschten Website führen würde. Natürlich war das Erstellen eines Lesezeichens ein langwieriger, einschüchternder Prozess, der manchmal bis zu zwei Menü-Klicks erforderte - oder schlimmer noch, die Verwendung der Strg-Taste!

Ah, die Wunder der Alten.


2
2018-02-12 17:19



Die Website könnte sich selbst "personalisieren", indem sie einige persönliche Informationen zeigt, leicht erkennbar für den Benutzer, auf jeder Seite. Es gibt viele Möglichkeiten, es zu implementieren. Das offensichtliche: Beim ersten Besuch benötigt die Seite einen Benutzer, um einen Avatar hochzuladen, und fügt den Cookies die ID des Benutzers hinzu. Danach jedes Mal, wenn der Benutzer durchsucht Auf der Website wird der Avatar angezeigt.


1
2018-02-12 16:48



Als ich mein Online-Bankkonto eingerichtet habe, hat es mich gebeten, aus einer Auswahl von Bildern zu wählen. Das Bild, das ich gewählt habe, wird mir jetzt jedes Mal angezeigt, wenn ich mich anmelde. Dies versichert mir, dass ich auf der richtigen Website bin.

EDIT: Ich lese gerade den Link über den BoA SiteKey, das ist anscheinend das Gleiche (es klang von dem Namen wie ein Challenge-Response-Dongle)

Ich nehme an, die beste Antwort wäre ein Hardware-Gerät, das einen Code von der Bank und dem Benutzer benötigt und beide authentifiziert. Aber jedes dieser Dinge setzt voraus, dass die Leute tatsächlich über das Problem nachdenken, was sie natürlich nicht tun. Dieses vorging vor Internet-Banking üblich war - ich hatte einen Freund, der in den 90er Jahren gestohlen zurück, ihre Brieftasche hatte und theif rief sie vorgibt, ihre Bank zu sein und überredete sie ihre PIN zu offenbaren ...


1
2018-02-12 16:46



Wenn der Benutzer zuerst die Website besucht und sich anmeldet, kann er einige persönliche Informationen teilen (auch etwas sehr trivial), dass Betrüger-Sites konnte nicht möglich Know - High-School-Maskottchen, lebte die erste Straße, usw.

Wenn es jemals eine Frage der Site-Authentizität gibt, kann die Site diese Informationen an den Benutzer zurückgeben.

Wie in Fernsehshows / Filmen mit dem bösen Zwilling. Der gute Zwilling gewinnt immer das Vertrauen, indem er ein Geheimnis teilt, dass nur die Person, die versucht herauszufinden, wer der gute Zwilling ist, würde wissen.


0
2018-02-12 16:53



Sie können Phishing per se nicht verhindern, aber Sie können mehrere Schritte ausführen, von denen jeder ein wenig zur Minderung des Problems beiträgt.

1) Wenn Sie etwas wie einen Site-Key oder ein Anmelde-Siegel haben, stellen Sie bitte sicher, dass diese nicht auf einer bösartigen Website erstellt werden können. Nur Javascript framebusting kann nicht genug sein, da IE security = "restricted" hat.

2) Seien Sie sehr konsequent darüber, wie Sie nach Benutzeranmeldeinformationen fragen - bedienen Sie das Login-Formular über SSL (nicht nur Post-Back über SSL). Fragen Sie nicht an mehreren Orten oder Websites nach Login. Ermutigen Sie Dritte, die mit auf Ihrer Site gespeicherten Benutzerdaten arbeiten möchten, OAuth zu verwenden (anstatt das Passwort Ihres Benutzers zu verwenden).

3) Sie sollten nie nach Informationen per E-Mail fragen (mit oder ohne Link).

4) Haben Sie eine Sicherheitsseite, auf der Sie über diese Probleme sprechen.

5) Benachrichtigung über Änderungen an registriertem Telefon, E-Mail usw. senden

Darüber hinaus können Sie die Aktivität von Benutzerkonten überwachen, wie z. B. Änderungen an Kontaktinformationen, Sicherheitsfragen und -zugriff, Zugriff usw. (Zeit, IP und verschiedene subtile Techniken).


0
2018-02-12 19:15