Pros y contras de las imágenes de seguridad [duplicar]

0

Durante el último año más o menos, me he dado cuenta de que todas las organizaciones bancarias con las que trabajo que tienen o tuvieron "imágenes de seguridad" como parte de su proceso de inicio de sesión han eliminado o planean eliminar esa función. Estas organizaciones incluyen Ally Bank , Bank of America y tarjeta de la tienda de Amazon por Sincronía Banco . Pensé que el propósito de esa función era hacer que el inicio de sesión fuera más seguro, ¿por qué están eliminando la función? ¿Existe alguna teoría recientemente descubierta o alguna que haya hecho que las empresas sientan que esta es una característica que debería eliminarse?

    
pregunta D. Strout 09.10.2015 - 06:59
fuente

1 respuesta

0

Uno de sus enlaces se refiere a SiteKey (BOA): en realidad, hay un estudio interesante realizado por la Universidad de Harvard y que le recomiendo que lea Los nuevos indicadores de seguridad del emperador: una evaluación de la autenticación del sitio web y el efecto de los juegos de roles en los estudios de usabilidad .

Primero, esta técnica fue vista como una estrategia de defense-en-profundidad destinada principalmente a ayudar a los jugadores a ataques de phishing . Sin embargo, estudios como el que mencionamos, muestran que esta técnica es una medida sin valor, ya que es menos efectiva de lo que uno podría pensar.

En realidad, el estudio empírico anterior, por ejemplo, prueba que los usuarios han sido atacados con dos tipos de ataques: ataques de phishing y MITM (eliminación de SSL).

El estudio anterior se realizó en 3 grupos de usuarios:

  • Grupo 1: los usuarios realizan tareas bancarias utilizando sus credenciales en su propio sitio web bancario
  • Grupo 2: los usuarios realizan tareas bancarias todos los domingos por la tarde
  • Grupo 3: similar al Grupo 2, pero a los usuarios se les enseñó instrucciones adicionales para comportarse de manera segura.

Los investigadores (que desempeñaron el papel de un atacante), ofrecieron páginas de inicio de sesión con imágenes de seguridad donde https:// se sustituye por http:// : todos (los tres grupos) los usuarios escribieron sus credenciales.

Cuando los atacantes eliminaron las imágenes de autenticación y las reemplazaron con mensajes de advertencia como Este servicio se está actualizando , el 99% de los usuarios (incluidos los que han enseñado comportamientos de seguridad) escribieron sus credenciales.

Conclusión: como las imágenes de seguridad no cumplen con lo que se supone que deben evitar, algunas aplicaciones en línea decidieron usar otra cosa en su lugar.

    
respondido por el user45139 09.10.2015 - 08:00
fuente

Lea otras preguntas en las etiquetas