Tls

Обяснете на човек, който не разбира от технологии как да провери дали връзката ви с mybank.com е безопасна?

Explain Non Tech Savvy Person How Check That Your Connection Mybank



Решение:

Защо показателите за сигурност се провалят срещу фишинг

Не могат да се предприемат действия, които са икономически изгодни. Казано по друг начин, твърде трудно е да се защитите срещу фишинг атаки. Вижте „Толкова дълго и без благодарности за външните фактори“ за пример за американската икономика и информационните работници.

Прав сте, че проверката за коректност на URL адреса е склонна към грешки, а HTTPS пасивните индикатори за сигурност са голяма шега. Те остават незабелязани, от години са безсмислени (какво означава, ако клавиатурата е синя или зелена или сива !?), и ако те бяха по -забележими / активни, хората щяха да се привикнат да ги виждат и атаките просто биха могли да си купят сертификат за URL адрес на измамник, така че името да се отпише.



Решението на този въпрос трябва да бъде архитектурно, а не да се разчита на губене на времето на хората и на тези хора да не правят грешки. Защо уеб браузърите нямат централизирано, надеждно хранилище, от което да проверяват URL адресите на банките и реномирани уебсайтове за плащане/прехвърляне, така че да могат да се използват уникални показатели за сигурност за такива сайтове?



Решение: накарайте потребителите да разчитат на сигурно взаимодействие, вместо да ги карате да се справят с ограниченията на показателите

Бих казал на хората да отидат на уебсайта веднъж, да се уверят, че URL адресът е правилен веднъж (можете да им помогнете) и да го запишете в любимите си. И използвайте изключително бутона за любими, така че те зная те са на правилния уебсайт. Бих им казал (без подробности), че никога не знаете къде ще кацнете, когато щракнете върху връзка или търсите уебсайт, но бутонът за предпочитани винаги ще ви отведе на правилното място. Как? Няма значение.



На този етап гарантирано е, че потребителите ще попаднат на правилния URL адрес. Ако възникне активна MITM атака, те ще получите предупреждение за страшен сертификат, което обикновено нямат за своя банков уебсайт. Предупредителното привикване е съвсем реално нещо и липсват цифри, за да се определи дали потребителите ще му обърнат внимание в контекста на по -рано доверен банков уебсайт. Подобряването на това предупреждение (например да стане по -страшно за банковите сайтове) също би изисквало познаване на това какво представлява и какво не е уебсайтът на банката.


Актуализация 09/2018:

Въпреки че по -рано заявих, че това може да е добър вариант, светът се промени и използването на EV вече не е особено надежден индикатор, дори предвид недостатъците, споменати по -долу. Има статии като тази от Troy Hunt, които обясняват пълния проблем, но накратко, браузърите вече не третират EV сертификатите като нещо особено специално и крият или намаляват показателите за EV състоянието.



Вземането на първия от посочените по -горе сайтове например дава следния дисплей съответно в Chrome 69, Edge, Firefox 62 и Internet Explorer 10. Safari на мобилни устройства показва зелен катинар и „Barclays PLC“, Chrome на мобилни устройства показва a зелен катинар, „https“ в зелено, след това останалата част от URL адреса в черно.

EV дисплей в текущите браузъри (09/2018)

С други думи, дори ако сайтът използва EV сертификат, няма нито един индикатор, който да може лесно да се съобщава на нетехническо лице. Той винаги е бил на милостта на браузърите и вече не се третира като нещо специално.

И така, каква е алтернативата? Нищо не ми идва на ум: URL адресите по -долу са от редица поддомейни на банковите сайтове, което затруднява търсенето на името на банката и не работи на някои мобилни устройства, които не показват пълния URL адрес. Символът на катинара е лесен за работа, предвид наличието на безплатни SSL сертификати за контролирани от вас домейни. Понастоящем браузърите показват предимно „https: //“, но не и „http: //“ сега, но разчитането на този останал случай има повечето от същите проблеми като разчитането на зелената адресна лента.

Това оставя всеки път да въвеждате банковия адрес в адресната лента и да сте абсолютно сигурни, че няма правописни грешки, което също не е надежден метод. Търсенето не е надеждно: повечето доставчици на търсене са доста добри в премахването на фалшиви връзки в реклами при условия като „вход за онлайн банкиране“, но отнема само една пропусната връзка. Следването на връзки от основния банков сайт просто премества въпроса за проверка на едно ниво нагоре.

Предполагам, че това е просто да бъдете внимателни: използвайте едно устройство за достъп до банковия сайт, като използвате отметка, която е проверена внимателно при създаването, и не позволявайте на никой друг да има достъп до това устройство, така че те не могат да бъдат променени. Вероятно има смисъл за някои хора, но видях, че това е твърде висока тежест за обикновения потребител, където устройствата се споделят с членове на семейството или могат да бъдат достъпни от колеги.

Оригинал 02/2016:

Щях да предположа, че гарантирането, че екранът за вход в системата за онлайн банкиране показва името на банката в зелено, в адресната лента може да работи. Но тогава започнах да се чудя дали някоя от местните банки, за които знам, е направила това правилно.

URL ленти на британски банки

Това е по -малко обнадеждаващо, отколкото се надявах. За тези девет доста големи банки 6 предоставят името на банката в лентата за сертифициране на EV. 2 посочвате името на родителската група (което не винаги е очевидно) и дори нямате EV сертификат.

EV сертификатът е проектиран да улесни това, ако се използва правилно - не можете да го фалшифицирате лесно и е извън областта на страницата, така че не може да бъде вмъкнат от злонамерен актьор. Изглежда обаче, че банките не се справят толкова добре с използването му.


„Питам как да обясня на обикновен потребител как да провери дали браузърът използва HTTPS и дали сте на правилния сайт ...“

Съгласен съм с това, което другите са казали тук относно търсенето на ключалката, както и „s“ в https и проверката, че URL адресът след // е правилен. Това напомням на клиентите си да направят. Всички финансови институции ще имат тези неща като минимум

Други подходи като „зеленото име“ в сертификатите за електромобили са полезни, но не всички банки ги използват, защото са много по -скъпи и изискват повече документи за прилагане (за да докажат кой сте) от стандартен SSL сертификат.

Две неща, които бих добавил към дискусията, са може би да се съсредоточа как хората стигат до банковия сайт.

Ако стигат до там чрез отметка (добре, стига винаги да използвате един и същ компютър и браузър), или чрез мобилното приложение на банката, или като въвеждате (дано е кратък и написан правилно) URL адреса на банката си всеки път, тогава е много по -малко вероятно да срещнат фишинг или MITM атаки.

Въпреки това, ако отговарят на връзка в имейл, в която се твърди, че е от банката (винаги съмнителна) или извън резултатите от търсачката, те трябва да бъдат особено предпазливи или да избягват тези пътища изобщо.

Другото, което правя с клиентите си, е да ги предупредя за последствията, ако станат невнимателни ... като откриване на транзакции, които не са направили, и/или пари, излезли от сметката им, прехвърлени в държави, в които възстановяването може да е невъзможно (например като Русия или Китай). По принцип, малко страх/параноя може да измине дълъг път към поддържане на бдителността на хората и сигурността на техните сметки. Надявам се това да помогне!