Uno de sus enlaces se refiere a SiteKey (BOA): en realidad, hay un estudio interesante realizado por la Universidad de Harvard y que le recomiendo que lea Los nuevos indicadores de seguridad del emperador: una evaluación de la autenticación del sitio web y el efecto de los juegos de roles en los estudios de usabilidad .
Primero, esta técnica fue vista como una estrategia de defense-en-profundidad destinada principalmente a ayudar a los jugadores a ataques de phishing . Sin embargo, estudios como el que mencionamos, muestran que esta técnica es una medida sin valor, ya que es menos efectiva de lo que uno podría pensar.
En realidad, el estudio empírico anterior, por ejemplo, prueba que los usuarios han sido atacados con dos tipos de ataques: ataques de phishing y MITM (eliminación de SSL).
El estudio anterior se realizó en 3 grupos de usuarios:
- Grupo 1: los usuarios realizan tareas bancarias utilizando sus credenciales en su propio sitio web bancario
- Grupo 2: los usuarios realizan tareas bancarias todos los domingos por la tarde
- Grupo 3: similar al Grupo 2, pero a los usuarios se les enseñó instrucciones adicionales para comportarse de manera segura.
Los investigadores (que desempeñaron el papel de un atacante), ofrecieron páginas de inicio de sesión con imágenes de seguridad donde https://
se sustituye por http://
: todos (los tres grupos) los usuarios escribieron sus credenciales.
Cuando los atacantes eliminaron las imágenes de autenticación y las reemplazaron con mensajes de advertencia como Este servicio se está actualizando , el 99% de los usuarios (incluidos los que han enseñado comportamientos de seguridad) escribieron sus credenciales.
Conclusión: como las imágenes de seguridad no cumplen con lo que se supone que deben evitar, algunas aplicaciones en línea decidieron usar otra cosa en su lugar.