Parece que le preocupa que sus usuarios ingresen sus credenciales en otra página que no sea su página de inicio de sesión real. En su caso, esto se debe a que la aplicación web está pirateada, pero esto se logra más comúnmente mediante ataques de phishing, por lo que es posible que desee buscar soluciones contra el phishing.
Hay un par de formas para asegurar que los usuarios solo se autentiquen en el dominio correcto:
-
tokens de hardware U2F . Este es un dongle USB con una clave criptográfica.
- Usar un administrador de contraseñas que solo complete automáticamente las credenciales cuando esté en el dominio correcto.
- Capacitar a los usuarios para que reconozcan las páginas de phishing, como verificar la URL.
Editar: usando la autenticación de dos factores como TOTP o tokens de SMS no impiden el phishing ya que la página de phishing también puede solicitar estos. Lo hace un poco más difícil ya que el atacante solo puede iniciar sesión una vez con las credenciales capturadas.
U2F es diferente a este respecto, debido a la criptografía. El token crea una firma del nombre de dominio. Las credenciales capturadas solo funcionan en la página de phishing y no en la página de inicio de sesión real, por lo que el atacante no puede iniciar sesión.