¿Contra qué se muestra una protección de "imagen y frase de seguridad"? [duplicar]

Navega tus respuestas
0

Un par de sitios financieros que uso tienen una "imagen de seguridad" (una foto al azar pequeña) y una "frase de seguridad" (algo sobre lo que escribo). Sin embargo, dos de ellos lo hacen de manera diferente: una pregunta mi nombre de usuario / contraseña, luego en la página siguiente muestra la frase / foto y me pregunta alguna otra información (a la "Nombre de la primera mascota"). El otro solo pregunta mi nombre de usuario, luego en la página siguiente muestra la frase / foto y me pide mi contraseña.

¿Contra qué tipo de ataques protege esto? Si alguien estaba creando un sitio falso de MitM, ¿no podrían simplemente reenviar la frase / foto, o si son CSRF simplemente omitirlos (entonces confía en mí para que note que no están allí)?

    
pregunta Nick T 15.02.2016 - 04:07
fuente

1 respuesta

-1

Normalmente, estos sitios web solicitan un nombre de usuario / correo electrónico al iniciar sesión primero, luego muestran su imagen de seguridad antes de solicitar su contraseña . La imagen la elige usted, el usuario, de un grupo de imágenes durante el registro. Así que, básicamente, le impide dar su contraseña a un clon malintencionado de un sitio web legítimo porque es probable que la imagen elegida por el usuario real no coincida con la imagen del sitio malicioso (suponiendo que intenten mostrarle una).

Si te muestran uno, de hecho depende de ti que lo hayas notado . Pero es por eso que también combinan esta función con la pregunta de seguridad, que también podría ser la pregunta incorrecta o que falta por completo (lo que también necesitaría notar).

Para responder a la pregunta de reenviar las fotos, reenviar con precisión la imagen / pregunta de un sitio financiero sería casi imposible. Hay dos formas de hacerlo que se me ocurren:

  1. Necesitarían una lista considerable de usuarios activos y una lista de las preguntas / imágenes que correspondan a cada usuario, luego esperan que nadie cambie su foto o pregunta de seguridad en ningún momento. Esto es algo que básicamente requeriría acceso a la base de datos del sitio web financiero o un volcado de datos de esa base de datos.

  2. La única alternativa obvia a eso sería encontrar una vulnerabilidad en la aplicación web que les permita enumerar usuarios, que la mayoría de los sitios web financieros van a proteger. Entonces necesitarían usar alguna técnica automatizada para crear una lista bastante grande de usuarios conocidos. A partir de ahí, tendrían que crear un tipo de base de datos espejo que vincule a estos usuarios conocidos con las preguntas de seguridad y las fotos.

Estos son muy poco prácticos. La manera más efectiva (en mi opinión) de frustrar las imágenes y frases de seguridad es esperar que los usuarios olviden que se les pedirá o tener acceso a su máquina y realizar el registro de teclas o la captura de pantalla porque entonces no hay razón para configurar una sitio web de phishing.

    
respondido por el guestuser 15.02.2016 - 08:19
fuente

Lea otras preguntas en las etiquetas

¿Qué es mejor: detectar el spam en el receptor o en la fuente? ¿Herramienta de cifrado que admita múltiples descifrados separados?