Subdominios una posible defensa contra el phishing [duplicado]

-1

Al ver que el phishing se está volviendo más popular y los usuarios están menos preocupados por la seguridad, estoy tratando de encontrar una solución para un nuevo sitio mío que pueda detener a los phishers. Por ejemplo, cualquiera puede crear un nuevo sitio que se parezca exactamente a los usuarios de Gmail y phish para obtener su UN / PW.

Sin embargo, ¿qué sucede si hacemos que el usuario elija su subdominio en el registro? Sólo pueden iniciar sesión en este subdominio, es decir. mysubdomainchoice.domain.com. Ahora, cuando el phisher obtiene las credenciales de un usuario inocente, ya no sabe dónde puede aplicarlas. Después de varios intentos de inicio de sesión no válidos, podemos bloquear al usuario de manera segura y hacer que cambien su un / pw si llegan a su subdominio correcto y responden sus preguntas de seguridad.

¿Es esta una forma válida de defensa contra el phishing y otros lo han pensado antes?

    
pregunta ElectricSignal 12.10.2013 - 22:39
fuente

1 respuesta

1

De la forma en que lo describiste, el nombre de subdominio es otra forma de credencial, como un nombre de usuario o contraseña. Así que es como si el usuario se enfrentara a 3 entradas, en lugar de a 2. Lo que es un poco mejor, pero no es un gran problema.

Tan pronto como los phishers sepan que el sistema funciona así, también comenzarán a phishing para el subdominio. Y es peor que solo pedir un código de acceso adicional, porque tratar de acceder al subdominio es una especie de confirmación para tener uno vivo. La seguridad por oscuridad no es una buena práctica,

¡Qué bien que estés pensando fuera de la caja!

    
respondido por el kroonwijk 13.10.2013 - 12:56
fuente

Lea otras preguntas en las etiquetas