¿Cómo se puede asegurar el inicio de sesión móvil de las pantallas de autenticación de impostor?

Navega tus respuestas
13

La historia parece haber llegado casi a un círculo completo donde se muestran problemas antiguos en tecnologías nuevas / emergentes.

Background

Si confía en el sistema operativo, Windows originalmente tenía Control - Alt - Eliminar como una forma de evitar que los programas TSR (Terminar y Permanecer residentes) roben contraseñas. También invocó a GINA ahora el subsistema seguro de Windows (como se llame en estos días).

Si confía en el navegador, los navegadores web demostraron ser seguros al usar los iconos SSL / TLS / HTTPS en el navegador, y en ocasiones colorearon la barra de estado en verde para los sitios que pagaron en exceso por su certificado SSL.

Problema

Ahora que los dispositivos móviles no muestran una barra de estado de HTTPS al navegar, es imposible saber si ' re en un sitio legítimo o pirateado a través de SSLStrip MITM o HTTPS. Además de eso, no hay un modo seguro integrado en el propio sistema operativo, por lo que parece casi imposible distinguir un diálogo de autenticación legítimo de un impostor.

¿Puede distinguir al impostor del diálogo legítimo?

AunquedemuestrolafederacióndeActiveDirectorydeAzure,elmismoproblemaseaplicaalascuentascorporativasydelosconsumidoresqueaprovechanotrossistemas(OAuth,OpenID,Facebook,PingIdentity,ADFS)

EsteproblemamevinoalamentecuandodescarguéunaaplicacióndeAndroidqueclaramenteestababuscandosuplantacióndeidentidadparamiscredenciales,porloquepodríapublicarunacríticafavorabledesímisma....unaAppReviewWormofsorts.

Pregunta

  • ¿Cómopuedeunusuariofinalestúpidoprotegersedeunataquedeestetipoenundispositivomóvil?

  • ¿Son certificados físicos la única opción para evitar el phishing? (Autenticación mutua TLS)

  • ¿Tiene FIDO un papel en la protección del espacio móvil?

pregunta random65537 01.09.2015 - 02:40
fuente

1 respuesta

3

La única forma en que puede asegurarse de estar seguro es si utiliza una aplicación móvil confiable, como Chrome, y ve el candado y el HTTPS al comienzo de la barra de direcciones.

Tenga en cuenta que aquí confía tanto en Chrome como en el dominio del sitio web que es HTTPS.

Si está utilizando una aplicación de terceros que integra un navegador, está confiando en esa aplicación. Si no confía en esa aplicación, no puede confiar en nada que se le muestre dentro de esa aplicación. Por lo tanto, solo debe ingresar las credenciales a través de las aplicaciones en las que confía, en este caso Chrome. Tenga en cuenta que las páginas de pantalla completa ahora requieren permiso para mostrarse en pantalla completa en Chrome, por lo que una página que dibuje la barra de direcciones ya no es posible sin que Chrome avise al usuario.

Tenga en cuenta que incluso si confía en una aplicación, debe tener cuidado de que la aplicación haya cargado podría estar sujeto al secuestro del esquema y podría no ser la aplicación que esperaba cargar. Siempre cargue la aplicación manualmente antes de ingresar cualquier credencial.

    
respondido por el SilverlightFox 02.09.2015 - 12:26
fuente

Lea otras preguntas en las etiquetas

¿El hashing del lado del cliente puede mejorar la seguridad después del hecho en respuesta a las filtraciones de contraseñas? ¿Mi teléfono con Windows está protegido contra ataques que revelan una lista de los ssids que conoce?