¿Por qué los bancos siguen pirateando la función autocompletar = desactivar?

Navega tus respuestas
5

Con Bug # 1025703 en la última versión de Firefox 38, Mozilla finalmente ha decidido defender su usuarios en lugar de atender a los bancos que no quieren que se recuerden las contraseñas.

Sin embargo, hace aproximadamente un año, he notado que el marcador recordar-contraseña ha dejado de funcionar en tantos sitios, especialmente en los de bancos, debido a algunos trucos javascript adicionales, por lo tanto, no está realmente claro para qué es el cambio anterior, tal vez solo para eliminar y limpiar una característica que ha sido redundante y rota desde hace mucho tiempo.

Pero la persistencia de las empresas que intentan que las contraseñas no se recuerden sin duda contribuye a la facilidad con que se pueden realizar los ataques de pesca, si sus usuarios están acostumbrados a ingresar sus contraseñas cuando regresan a una pestaña después de 15 minutos de inactividad en un determinado tab, en un aviso de capricho, la pesca es mucho más fácil cuando están listos y dispuestos. Compárelo con el enfoque del Administrador de contraseñas, que almacena de forma segura las contraseñas, y su diseño garantiza que solo las revelará a los sitios web correctos.

Entonces, ¿por qué los bancos continúan haciendo esto, el juego del mouse y el gato para evitar que las contraseñas se guarden en el Administrador de contraseñas? ¿No son los administradores de contraseñas una buena manera de garantizar que no se pueda realizar la pesca con los clientes, ya que ni siquiera conocen sus propias contraseñas?

    
pregunta cnst 21.05.2015 - 07:20
fuente

3 respuestas

5

Si bien hay aspectos de la verdad en lo que dices, debes mirar el panorama general y ver dónde los bancos tienen responsabilidades y riesgos. Los bancos buscan minimizar el riesgo hasta cierto nivel (por ejemplo, existe un apetito de fraude aceptado por los bancos para intentar reducir sus costos cada vez más, convirtiéndose rápidamente en inviable) y muchos de estos impulsores entran en conflicto con los requisitos de experiencia del usuario. .

Además, los requisitos técnicos constituyen una buena parte del perfil de riesgo y el apetito de un banco. Así que eso también lleva a compensaciones.

Permitir que los dispositivos de los usuarios almacenen credenciales podría ser una forma de que los atacantes obtengan un acceso aún más fácil que su tasa actual de phishing, por lo tanto, a menos que tenga un conjunto de estándares estrictamente forzados por los que funcionan todos los administradores de contraseñas, también se puede auditar evaluado por los bancos, usted está en una posición en la que puede estar mejorando la seguridad, pero puede estar disminuyendo.

El peor de los casos para los bancos es que la seguridad se reduce, las cuentas de los clientes son atacadas y los bancos son responsables de ello.

Por lo tanto, mantener la responsabilidad del cliente para controlar sus credenciales generalmente se considera mejor para la mayoría de los clientes y para el banco en general, mientras que para algunos clientes será peor. Y para esos clientes, pueden mejorar su seguridad a través de la capacitación de concientización.

    
respondido por el Rory Alsop 22.05.2015 - 11:57
fuente
2

Los bancos tienen pérdidas de dinero real, una cantidad significativa de esto proviene del acceso no autorizado a las cuentas bancarias, por lo que tienen incentivos financieros para dificultar que los usuarios pierdan su contraseña almacenándola en el navegador de su cibercafé local / biblioteca / etc.

    
respondido por el wireghoul 21.05.2015 - 16:01
fuente
2

Los bancos normalmente son organizaciones muy grandes y burocráticas impulsadas por políticas escritas por personas que tuvieron un buen sentido, pero que no pueden responder muy bien a las amenazas cambiantes.

¿Los ataques de phishing son peores que las máquinas comprometidas donde se roba la contraseña? No estoy seguro, pero es una discusión válida. Guardar la contraseña localmente es fácil de entender, y durante años la gente ha recibido el consejo "no escriba su contraseña en un papel" (aunque es probable que este sea un consejo deficiente en un mundo en red con diferentes amenazas). El phishing es mucho más difícil de entender, y es probable que un banco piense que existe una responsabilidad sobre el cliente porque "hizo algo", mientras que un compromiso con la computadora sería más difícil de identificar.

Si los bancos realmente pensaran profundamente sobre la seguridad, ofrecerían autenticación de 2 factores como lo hace GMail. Es un ejercicio trivial, pero hasta ahora solo he visto a un banco ofrecer esto. Dado que la mayoría de los bancos no ofrecen esto, solo puedo suponer que no tienen personas terriblemente sofisticadas que estén dispuestas a presionar por niveles más altos de seguridad, y pensar en los modelos de amenaza en su contra.

    
respondido por el Steve Sether 22.05.2015 - 17:00
fuente

Lea otras preguntas en las etiquetas

¿Vale la pena un proxy inverso? ¿Alguna razón para no cifrar un valor de 32 bytes por medio de XORing con un hash PBKDF2?