¿Cómo mejoran la seguridad las “imágenes de confianza” en la página de inicio de sesión de mi banco?

22

Recientemente, mi banco cambió su proceso de inicio de sesión para mostrar una imagen preseleccionada que etiquetan como "Imagen de confianza", aparentemente para permitir que un usuario humano del sitio web autentique el sitio web del banco como no una falsificación.

El proceso de inicio de sesión anterior fue:

  1. Visite BankName.com (todo el sitio está protegido con un certificado EV)
  2. Haga clic en el enlace de inicio de sesión, una solicitud GET en su página de inicio de sesión
  3. Introduzca el nombre de usuario y la contraseña, POST enviar formulario
  4. Recibir la redirección de HTTP 303 a la página del panel de la cuenta

El nuevo proceso es:

  1. Visite BankName.com (todo el sitio está protegido con un certificado EV)
  2. Haga clic en el enlace de inicio de sesión, una solicitud GET en su página de inicio de sesión
  3. Introduzca el nombre de usuario y la contraseña, POST enviar formulario
  4. Recibir redireccionamiento de HTTP 303 a la página "Imagen de confianza", que muestra una imagen que seleccioné anteriormente, también me pide que vuelva a ingresar mi contraseña por segunda vez. Después de POST ing este formulario, se redirige a la página del panel de mi cuenta.

No veo cómo esto agrega ninguna seguridad real, cualquier MITM o cualquier proxy (en el supuesto de que la seguridad TLS esté comprometida de alguna manera) podría enviar la imagen de confianza y lo reconocería. De manera similar, un sitio web falso solo necesita enviar mis propias credenciales a la página de inicio de sesión del banco real, obtener una copia de la imagen de confianza y volver a servir eso, lo que engañaría a un usuario menos sofisticado con mucha facilidad.

Solo un sitio web falso muy básico (con una página de imagen de confianza codificada) hará que los usuarios vean la discrepancia, pero el mayor problema es que solo muestra la imagen después que ya ingresé mi contraseña, por lo que la función es inútil porque el sitio web de ataque o suplantación de identidad ya tiene una copia de mi nombre de usuario y contraseña.

Recuerdo que en un momento dado, la página de inicio de sesión de OpenID de Yahoo mostró una imagen de confianza, mientras que eso sucedió después de que ingresé mi nombre de usuario, t crucialmente era antes ingresé mi contraseña (por lo que el proceso de inicio de sesión fue dividido en dos formas): creo que también se basó en una cookie solo de HTTP, por lo que iniciar sesión en Yahoo en un navegador limpio no activaría la imagen de confianza.

Utilizar la inteligencia humana para realizar la autenticación mutua parece una mala idea: los certificados X.509 ya cumplen la función de autenticación del servidor, y los certificados EV lo hacen más fácil para los usuarios menos sofisticados ("busque el verde"). No veo la motivación ... o el éxito detrás de este movimiento, y me siento frustrado por tener que saltar a través de otro aro para iniciar sesión en mi banco.

ACTUALIZACIÓN: unas semanas después de que mi banco introdujera estas imágenes de confianza, cambiaron el proceso de inicio de sesión para que ingrese su contraseña después de ver la imagen:

  1. Visite BankName.com, haga clic en el enlace de inicio de sesión
  2. Introduzca solo el nombre de usuario.
  3. La página de respuesta tiene la imagen de confianza y un cuadro de ingreso de contraseña
  4. Envíe con la contraseña correcta para acceder al panel de su cuenta

Un comentario interesante por Joshua sugiere que estas imágenes podrían ayudar en situaciones MITM siempre que cada solicitud de imagen se registre y se pueda usar como evidencia de un ataque de phish, como por ejemplo:

  1. El usuario hace clic en el enlace del correo electrónico de phishing y abre TotallyNotFakeBank.com/login
  2. Esta página de inicio de sesión solo tiene un indicador de nombre de usuario.
  3. Después de enviar el nombre de usuario, el servidor MITM realiza una nueva solicitud al sitio web del banco real y obtiene la imagen de confianza real. Esta solicitud será desde la propia dirección IP del MITM. (Hipotéticamente, el sitio MITM podría usar al cliente / víctima para realizar una solicitud AJAX para la imagen, pero si CORS y otras restricciones se configuran correctamente, esto debería ser imposible)
  4. El MITM genera la página de imagen de confianza falsa y devuelve la imagen a la víctima, y la víctima pasa su contraseña.
  5. La víctima posteriormente pierde dinero después de que los atacantes usan las credenciales para obtener dinero de la cuenta.
  6. La víctima informa a su banco y el banco verifica los registros de acceso de la imagen de confianza y ve que la solicitud original de la imagen de confianza no proviene de su navegador web habitual, lo que lleva al banco a creer la historia de sus clientes. de asumir que fue un informe falso.
pregunta The D 29.07.2016 - 11:32
fuente

1 respuesta

38

Está describiendo una variación de SiteKey .

Su banco lo implementa incorrectamente porque le pide el nombre de usuario y la contraseña antes de mostrar la imagen. Si la página fuera un atacante, no podría mostrarte la imagen correcta, pero eso no importa porque ya tiene tu nombre de usuario y contraseña.

Si se implementa correctamente, sigue siendo muy ineficaz .

    
respondido por el Sjoerd 29.07.2016 - 11:44
fuente

Lea otras preguntas en las etiquetas