“No ingrese su contraseña a menos que reconozca esta imagen”. ¿Cómo funciona esto? [duplicar]

2

El indicador de inicio de sesión para mi sitio de pago de préstamos estudiantiles tiene dos partes. Primero ingrese su nombre de usuario, luego se le mostrará una imagen y un mensaje de contraseña. Escogí la imagen cuando hice mi cuenta por primera vez a partir de algunas otras posibles imágenes. Sin embargo, no veo cómo esto aumenta la seguridad de la cuenta en absoluto. ¿Qué está pasando aquí?

    
pregunta ahota 19.07.2017 - 17:36
fuente

2 respuestas

2

Supongo que esto es una forma de autenticación mutua. Estás mostrando una imagen que habías seleccionado anteriormente. De esta manera, puede confiar en que los datos entrantes sean proveedores de servicios originales. No estoy seguro de la efectividad del mismo, especialmente en un ataque MiTM.

    
respondido por el Parth Maniar 19.07.2017 - 21:06
fuente
-2

Parece una especie de captcha destinado a evitar que los troyanos bancarios inicien sesión en su cuenta de préstamo estudiantil. Estos troyanos son una clase de malware que se escriben para capturar las credenciales de inicio de sesión de los usuarios. En caso de que se infecte y le roben sus credenciales, el troyano también tendrá que ingresar al captcha.

Sin embargo, en este caso, si la imagen "captcha" es la misma cada vez, entonces el troyano bancario o el malware terminarán también presionando la palabra captcha ("http:") y no habrá una protección efectiva real contra El bot inicia sesión ya que también sabe cuál es la palabra captcha.

Parece que alguien tuvo la idea correcta pero la implementación es defectuosa.

Otra posibilidad, como alguien señaló, es que está diseñada para proteger contra las páginas de phishing que se hacen pasar por su banco. Incluso si pueden hacer que la página se vea como la página de inicio de sesión de su préstamo estudiantil, esa imagen se obtiene de una base de datos de acuerdo con lo que seleccionó anteriormente. No hay forma de que un atacante sepa que es un intento de phishing genérico dirigido a muchos usuarios. Observa la falta de una imagen o la presencia de una imagen incorrecta y se abstiene de entregar sus credenciales en una página de phishing.

    
respondido por el whoami 19.07.2017 - 17:43
fuente

Lea otras preguntas en las etiquetas