¿Cómo está a salvo la "palabra de seguridad" del hombre en el ataque central?

Respuesta larga: Este tipo de mecanismo de seguridad no está diseñado para proteger contra MitM: está diseñado para proteger contra el mimetismo / suplantación de identidad / phishing de URL. Ejemplo:

• Los usuarios reciben un mensaje de spam que parece que proviene de "Legit Bank"
• El mensaje de spam contiene un enlace a "Actualice su información", alojado en un servidor controlado criminalmente
• Los usuarios ingresan su información, engañados por el convincente sitio web

Este mecanismo de seguridad está destinado a ayudar a los usuarios finales a verificar que el sitio que visitan es legítimo, sin tener que enseñarles los mecanismos lógicos detrás de cómo identificar los correos electrónicos de suplantación de identidad o las URL falsificadas / imitadas.

Además, la sofisticación requerida para este tipo de MitM superaría el retorno del fraude bancario ordinario. En pocas palabras, si eres tan bueno, no vale la pena ni el tiempo ni el riesgo de ir tras los usuarios finales.

Respuesta corta: No, no protege contra MitM.

Editado por brevedad.

Como se explicó en las respuestas anteriores, este tipo de protección no lucha contra los ataques MITM, sino contra el sitio de suplantación de identidad diseñado para robar información de credenciales.

Un ejemplo bien documentado es el sello inicio de sesión de Yahoo : Yahoo muestra una imagen de su elección directamente en la página de inicio de sesión (antes de cualquier intento de inicio de sesión). Yahoo puede mostrar la imagen correcta porque te reconocen gracias a una cookie almacenada en tu navegador.

Por lo tanto, su navegador enviará la cookie solo a un sitio web que coincida con el nombre de host real. Por ejemplo, enviará la cookie a login.yahoo.com , pero no se enviará ninguna cookie a un dominio como login.yahoo.com.my-phishing-site.com ya que, incluso puede engañar a un usuario, el dominio no coincide realmente.

Por lo tanto, un sitio de phishing no recibe la cookie, por lo que ni siquiera pueden presentarla en la página de inicio de sesión de Yahoo para obtener la imagen. Por lo tanto, si un usuario ve la imagen en su página de inicio de sesión, puede asumir razonablemente que está en la página de inicio de sesión legítima de Yahoo y puede proporcionar su nombre de usuario y contraseña con confianza.

Si no ve la imagen (es decir, la página de inicio de sesión tiene el aspecto habitual, lo que es mucho más notable que un mensaje de información de texto puro), se le avisará de que algo inusual está en curso y lo verificará más detenidamente proporcionar cualquier información de credencial.

La vulnerabilidad de MITM depende de los detalles de cómo han implementado esta función.

Algunas implementaciones son trivialmente vulnerables, como explican otras respuestas.

Algunas implementaciones tienen protección MITM. Estos se enfocan generalmente en el caso donde un usuario ha iniciado sesión previamente desde la misma máquina. El navegador tendrá instalada una cookie de larga duración y, antes de iniciar sesión, el servidor tomará la cookie y mostrará la palabra de seguridad. El sitio de phishing no tendrá esa cookie, por lo que no podrá obtener la palabra de seguridad.

El problema con este enfoque es lidiar con el caso en el que un usuario inicia sesión por primera vez en una computadora en particular. Tiene una situación de catch-22 en la que el servidor no puede revelar la palabra de seguridad hasta que el usuario se haya autenticado, y el usuario no desea ingresar su contraseña hasta que vea la palabra de seguridad. Los sistemas comerciales tienen formas particulares de lidiar con esto, que generalmente son defectuosas.

La conclusión es que este es un mecanismo de seguridad bastante poco fiable. Ya tenemos una forma segura de autenticar el servidor: el certificado SSL. Claro que hay problemas con los certificados SSL, pero este tipo de sistemas de "palabras memorables" son peores.

(oop ... pegar del duplicado en SO)

  

No entiendo cómo previene el ataque del hombre en medio.

De hecho, no lo hace.

Significa que el tipo de sitio de phishing estático perezoso que compone la mayoría de los ataques fallaría: un atacante de phishing tendría que configurar algunos medios para consultar el servicio real de la palabra de seguridad / imagen / etc del usuario (que Si no se enruta a través de una red de bots, se generaría un patrón de acceso inusual que, en teoría, el SOC de un banco podría detectar).

Podría considerar que esto tiene algún valor para el banco en términos de hacer que no sean la "fruta más baja" para los ataques de phishing. Pero no hace nada contra los ataques MitM, y la investigación sugiere que tan pocos usuarios incluso toman nota de site-to - Autentificación del usuario con la que no vale la pena molestarse.

Puede tener algún valor para el banco como teatro de "percepción de seguridad".