Tls

Vysvetlite netechnicky zdatnému človeku, ako skontrolovať, či je vaše pripojenie k mybank.com bezpečné?

Explain Non Tech Savvy Person How Check That Your Connection Mybank



Riešenie:

Prečo zlyhávajú indikátory zabezpečenia oproti phishingu

Nie je možné prijať žiadne opatrenia, ktoré by boli ekonomicky životaschopné. Inak povedané, brániť sa pred phishingovými útokmi je príliš náročné. Pozrite si príklad „Tak dlho a nie vďaka externalitám“ o príklade americkej ekonomiky a informačných pracovníkov.

Máte pravdu, že kontrola správnosti adresy URL je náchylná na chyby a pasívne indikátory zabezpečenia HTTPS sú veľkým vtipom. Zostanú bez povšimnutia, už roky nemajú zmysel (čo to znamená, ak je klávesnica modrá alebo zelená alebo sivá !?), a keby boli výraznejší / aktívnejší, ľudia by si na ne zvykli a útoky by sa dali jednoducho kúpiť. certifikát na podvodnú adresu URL, aby sa meno odhlásilo.



Riešenie tohto problému musí byť architektonické, nie spoliehať sa na plytvanie časom ľudí a na to, aby títo ľudia nerobili chyby. Prečo webové prehliadače nemajú centralizované a dôveryhodné úložisko, z ktorého by bolo možné overovať adresy URL bánk a renomovaných webových stránok s platbami/prevodmi, aby bolo možné pre tieto stránky používať jedinečné indikátory zabezpečenia?



Riešenie: prinútite používateľov, aby sa spoliehali na bezpečnú interakciu, a nie aby sa zaoberali obmedzeniami ukazovateľov

Povedal by som ľuďom, aby sa raz dostali na webovú stránku, aby sa raz presvedčili, či je adresa URL správna (môžete im pomôcť), a uložili ju do obľúbených. A tak používajú výlučne tlačidlo obľúbených vedieť sú na správnom webe. Povedal by som im (bez podrobností), že nikdy neviete, kde sa dostanete po kliknutí na odkaz alebo pri vyhľadávaní webovej stránky, ale pomocou tlačidla obľúbených sa vždy dostanete na správne miesto. Ako? To je jedno.



V tejto fáze sa užívateľom zaručene pristane na správnej adrese URL. Ak dôjde k aktívnemu útoku MITM, oni bude získajte strašidelné upozornenie na certifikát, ktoré bežne pre svoj bankový web nemajú. Výstraha návyku je veľmi reálna vec a chýbajú údaje, ktoré by určovali, či by mu používatelia venovali pozornosť v kontexte predtým dôveryhodného bankového webu. Vylepšenie tohto varovania (napr. Zvýšenie děsivosti pre webové stránky bánk) by tiež vyžadovalo znalosť toho, čo je a čo nie je webová stránka banky.


Aktualizácia 09/2018:

Aj keď som predtým uviedol, že to môže byť dobrá voľba, svet sa zmenil a používanie EV už nie je obzvlášť spoľahlivým ukazovateľom, a to aj vzhľadom na nižšie uvedené nevýhody. Existujú články, ako je tento od Troy Hunt, ktoré vysvetľujú celý problém, ale skrátka, prehliadače už nepovažujú certifikáty EV za niečo obzvlášť špeciálne a skrývajú alebo znižujú ukazovatele stavu EV.



Ak vezmeme napríklad prvý zo skôr uvedených webov, získate nasledujúce zobrazenie v prehliadačoch Chrome 69, Edge, Firefox 62 a Internet Explorer 10. Safari pre mobilné zariadenia zobrazuje zelený zámok a „Barclays PLC“, prehliadač Chrome pre mobil zobrazuje zelený zámok, „https“ zeleným písmom a potom zvyšok adresy URL čiernym písmom.

Zobrazenie EV v aktuálnych prehliadačoch (09/2018)

Inými slovami, aj keď stránka používa certifikát EV, neexistuje jediný ukazovateľ, ktorý by bolo možné ľahko oznámiť netechnickej osobe. Vždy to bolo na milosť a nemilosť prehliadačov a už sa to nepovažuje za nič zvláštne.

Aká je teda alternatíva? Nič ma nenapadá: Adresy URL uvedené nižšie pochádzajú z radu subdomén webových stránok bánk, čo sťažuje hľadanie názvu banky, a nefunguje na niektorých mobilných zariadeniach, ktoré nezobrazujú úplnú adresu URL. Symbol visiaceho zámku sa dá ľahko obísť, vzhľadom na dostupnosť bezplatných certifikátov SSL pre domény, ktoré ovládate. Prehliadače v súčasnosti väčšinou zobrazujú „https: //“, ale teraz už nie „http: //“, ale spoliehanie sa na to, že to tak zostane, má väčšinou rovnaké problémy ako spoliehanie sa na zelený panel s adresou.

To znamená, že zakaždým zadáte adresu banky do panela s adresou a budete si úplne istí, že neobsahuje preklepy, čo tiež nie je spoľahlivá metóda. Vyhľadávanie nie je spoľahlivé: väčšina poskytovateľov vyhľadávania je celkom dobrá v odstraňovaní falošných odkazov v reklamách s výrazmi ako „prihlásenie do online bankovníctva“, ale vyžaduje to iba jeden zmeškaný odkaz. Nasledujúce odkazy z hlavného webu banky iba posúvajú problém s overením o úroveň vyššie.

Predpokladám, že je to len opatrnosť: na prístup na bankový server použite jediné zariadenie pomocou záložky, ktorá bola pri vytváraní starostlivo skontrolovaná, a nedovoľte nikomu ďalšiemu prístup k tomuto zariadeniu, takže ich nemožno upravovať. U niektorých ľudí to asi dáva zmysel, ale videl som, že ide o príliš vysokú záťaž pre priemerného používateľa, kde sú zariadenia zdieľané s rodinnými príslušníkmi alebo k nim majú prístup spolupracovníci.

Pôvodné 02/2016:

Chcel som navrhnúť, aby zaistenie, aby prihlasovacia obrazovka online bankového systému zobrazovala názov banky zelenou farbou, v paneli s adresou fungovalo. Potom som však začal uvažovať, či to niektorá z miestnych bánk, o ktorých viem, robí správne.

Panely s adresou URL britských bánk

Je to menej povzbudzujúce, ako som dúfal. V prípade týchto deviatich pomerne veľkých bánk 6 poskytne názov banky v paneli s certifikátom EV. 2 poskytnú názov nadradenej skupiny (čo nemusí byť vždy zrejmé) a jeden dokonca nemá certifikát EV.

Certifikát EV je navrhnutý tak, aby bol pri správnom použití taký ľahký - nemôžete ho ľahko predstierať a nachádza sa mimo oblasti stránky, takže ho nemôže vložiť zákerný herec. Zdá sa však, že bankám sa jej používanie príliš nedarí.


„Pýtam sa, ako bežnému používateľovi vysvetliť, ako skontrolovať, či prehliadač používa protokol HTTPS a či ste na správnom webe ...“

Súhlasím s tým, čo tu povedali iní o hľadaní zámku, ako aj „s“ v https a overovaní správnosti adresy URL za //. Práve to pripomínam svojim klientom. Všetky finančné inštitúcie budú mať tieto veci ako minimum

Užitočné sú aj iné prístupy, ako napríklad „zelený názov“ v certifikátoch EV, ale nie všetky banky ich používajú, pretože sú oveľa drahšie a na implementáciu (na preukázanie toho, kto ste) vyžadujú viac papierovania ako štandardný certifikát SSL.

Dve veci, ktoré by som pridal do diskusie, sú možno pozornosť ako ľudia sa dostanú na bankový server.

Ak sa tam dostanú prostredníctvom záložky (v poriadku, pokiaľ vždy používate rovnaký počítač a prehliadač), alebo prostredníctvom mobilnej aplikácie banky, alebo zadaním zakaždým adresy (dúfajme, že krátkej a správne napísanej) svojej banky, potom je oveľa menšia pravdepodobnosť, že sa stretnú s útokmi typu phishing alebo MITM.

Ak však odpovedajú na odkaz v e -maile, v ktorom tvrdia, že sú z banky (vždy pochybné), alebo mimo výsledkov vyhľadávania, mali by byť obzvlášť opatrní alebo by sa týmto možnostiam mali úplne vyhnúť.

Ďalšou vecou, ​​ktorú robím so svojimi klientmi, je upozorniť ich na dôsledky, ak sa stanú neopatrnými ... ako napríklad zisťovanie transakcií, ktoré nerobili, a/alebo straty peňazí z ich účtu, prevedených do krajín, kde môže byť zotavenie celkom nemožné (napr. ako Rusko alebo Čína). V zásade môže malý strach/paranoja prispieť k tomu, aby boli ľudia v strehu a ich účty v bezpečí. Dúfam, že to pomôže!