El inicio de sesión de la aplicación de Banca pierde información

Sí, esto es defectuoso de dos maneras:

1. Permite que un atacante enumere los nombres de usuario simplemente probándolos y verificando la respuesta.
2. Le permite a un atacante obtener su imagen "secreta" usando una información no secreta. Esto no significa absolutamente nada en términos de seguridad, y es simplemente teatro.

Además de eso, puedo ver otro agujero potencial: es posible que el atacante ni siquiera tenga que descargar las imágenes. Si todo lo que necesita es un nombre de usuario válido, ¿qué impide que el atacante cree una página de phishing que use el mismo mecanismo que el sitio real para recuperar la imagen del servidor del banco real?

La implementación correcta sería tener dos tokens de autenticación, y solo mostrar la imagen después de que uno de ellos haya sido ingresado correctamente. Esto generalmente se hace a través de una contraseña y una "palabra secreta", pero también se puede usar un segundo factor fuerte como un token de hardware.

La idea detrás de esto es que evita un simple ataque de phishing estático, por lo que eleva el nivel para requerir un código un poco más complejo para construir el sitio de phishing. Si se hace "correctamente", la imagen no debe ser la única en la página y debe tener una identificación asignada al azar. En teoría, esto hace que requiera más esfuerzo para phishear la página, pero no agrega nada particularmente significativo desde el punto de vista de seguridad, ya que en realidad no impide que se haga. En la práctica, sin embargo, hace que un sitio de phishing pase por el esfuerzo de obtener una imagen mucho más creíble para los usuarios. Hay un buen documento sobre el tema si desea obtener más información.

La falla más grande es que tal sistema requiere que se muestre una imagen para cualquier nombre de usuario válido. Deben presentar una imagen coherente para cualquier nombre de usuario no utilizado para que la información sobre los nombres de usuario válidos no se filtre. Esta es la preocupación mucho más grande. La cosa de la imagen no es realmente una preocupación en sí misma, ya que no daña nada por sí misma, pero el problema del nombre de usuario es un gran aumento en la superficie de ataque, ya que elimina todo un desconocido.

Desde la página de Wikipedia a la que Rory McCune ha vinculado:

  

Un estudio de Harvard encontró que SiteKey 97% no es efectivo. En la práctica, las personas reales no notan, o no les importa, cuando falta el SiteKey, de acuerdo con sus resultados.

     

SiteKey está diseñado para evitar que los usuarios revelen sus credenciales de inicio de sesión a un sitio de phishing. La razón es que un sitio de phishing no tendría la información de SiteKey para un usuario. La falla obvia en el diseño es que un sitio de suplantación de identidad (phishing) puede obtener la información correcta de SiteKey del sitio original y luego entregarla al usuario, "demostrando" su legitimidad. SiteKey es, por lo tanto, susceptible a un ataque de hombre en el medio.

     

También requiere que los usuarios realicen un seguimiento de más información de autenticación. Alguien asociado con N sitios web diferentes que usan SiteKey debe recordar N 4 grupos de información diferentes: (sitio, nombre de usuario, frase, contraseña).

No creo que yo pudiera haberlo dicho mejor. En pocas palabras, si su barra de direcciones no se pone verde cuando abre la página principal de su sitio bancario (una característica de la mayoría de las versiones actuales del navegador que indica que el sitio ha presentado un certificado EV-SSL válido y de gran confianza), no ingrese tus credenciales. Cualquier otra cosa que el sitio pueda proporcionarle personalmente para demostrar que su validez es demasiado fácil de falsificar.

No veo cómo esta configuración sería más vulnerable a los ataques de phishing que otros esquemas de autenticación. Este método de autenticación no facilita los ataques de phishing, puede hacer que sea más difícil técnicamente al obligar al atacante a dar el paso de visitar el sitio para obtener las imágenes para mostrarlas en su sitio web falso, pero eso es algo que un atacante experto no tendría. problema haciendo

Este no es un buen método ya que no mejora la seguridad de la banca de un usuario, pero no es menos seguro que la simple autenticación de nombre de usuario / contraseña.

Tenga en cuenta que si un atacante con las habilidades adecuadas tiene el nombre de usuario bancario de alguien y su dirección de correo electrónico, es probable que tenga una buena oportunidad de orquestar un ataque de phishing dirigido exitoso sin importar las contramedidas del banco.

La principal falla aquí es que el sitio responde, como @mckiethanks dice en los comentarios: "Por favor, verifique el nombre de usuario" a nombres de usuario desconocidos. Esto le permite al atacante una información útil, es decir, el nombre de usuario en primer lugar. La forma inteligente para que el banco lo diseñe sería responder a cada intento con un conjunto de imágenes, ya sea que exista o no el nombre de usuario.