“No ingrese su contraseña a menos que reconozca esta imagen”. ¿Cómo funciona esto? [duplicar]

Supongo que esto es una forma de autenticación mutua. Estás mostrando una imagen que habías seleccionado anteriormente. De esta manera, puede confiar en que los datos entrantes sean proveedores de servicios originales. No estoy seguro de la efectividad del mismo, especialmente en un ataque MiTM.

Parece una especie de captcha destinado a evitar que los troyanos bancarios inicien sesión en su cuenta de préstamo estudiantil. Estos troyanos son una clase de malware que se escriben para capturar las credenciales de inicio de sesión de los usuarios. En caso de que se infecte y le roben sus credenciales, el troyano también tendrá que ingresar al captcha.

Sin embargo, en este caso, si la imagen "captcha" es la misma cada vez, entonces el troyano bancario o el malware terminarán también presionando la palabra captcha ("http:") y no habrá una protección efectiva real contra El bot inicia sesión ya que también sabe cuál es la palabra captcha.

Parece que alguien tuvo la idea correcta pero la implementación es defectuosa.

Otra posibilidad, como alguien señaló, es que está diseñada para proteger contra las páginas de phishing que se hacen pasar por su banco. Incluso si pueden hacer que la página se vea como la página de inicio de sesión de su préstamo estudiantil, esa imagen se obtiene de una base de datos de acuerdo con lo que seleccionó anteriormente. No hay forma de que un atacante sepa que es un intento de phishing genérico dirigido a muchos usuarios. Observa la falta de una imagen o la presencia de una imagen incorrecta y se abstiene de entregar sus credenciales en una página de phishing.