it-swarm.com.de

Erklären Sie nicht technisch versierten Personen, wie Sie überprüfen können, ob Ihre Verbindung zu mybank.com sicher ist.

Ich habe den Sicherheitshinweis der Swedish Bankers 'Association gelesen. Sie enthielten diese beiden Ratschläge (meine Übersetzung), von denen ich annehme, dass sie den Benutzer lehren sollen, nach SSL/TLS zu suchen und vor SSL-Streifen zu schützen:

  • Überprüfen Sie, ob dies die Adresse Ihrer Bank in der Adressleiste Ihres Browsers ist, bevor Sie sich bei Ihrer Internetbank anmelden.
  • Die Webadresse auf der Anmeldeseite sollte mit https:// Beginnen und ein Vorhängeschlosssymbol sollte im Browser sichtbar sein.

Dies ist ein ziemlich wichtiges Thema, da einige schwedische Banken ihre Hauptseite (wo der Link zur Internetbank ist) über HTTP bedienen und keine von ihnen HSTS implementiert hat. Ich sehe jedoch eine Reihe von Problemen mit den gegebenen Ratschlägen:

  1. Wie überprüfe ich, ob es sich um die Adresse meiner Bank handelt? Ein gewöhnlicher Benutzer würde wahrscheinlich die URL nach dem Namen der Bank durchsuchen und zufrieden sein, wenn er sie findet. Nur mit diesem Rat bewaffnet, würden Sie leicht auf mybank.com.evil.com/mybank.com Fallen. (Leider ist die URL für Anmeldeseiten oft nicht sehr sauber, sodass Kunden eine unordentliche URL erwarten würden.)
  2. "Also erinnere ich mich, dass es etwas mit einem h und ein paar p oder t gab oder etwas, nach dem ich suchen sollte. http://? Ja, das war es wahrscheinlich ist es. Muss sicher sein. "
  3. Suchen Sie im Browser nach dem Vorhängeschloss ? Ernsthaft? Sie können es einfach in die Seite aufnehmen und müssen nicht einmal den alten Favicon-Trick verwenden, um jemanden zu täuschen, der diesen Rat liest.

Natürlich begann ich darüber nachzudenken, was ein guter Rat zu diesem Thema sein könnte, aber ich fand es überraschend schwierig. Der Rat sollte (A) kurz, (B) leicht zu merken und zu verstehen sein, selbst für einen Benutzer mit wenig technischen Kenntnissen, und (C) sollte für alle ziemlich modernen Browser gelten. Stellen Sie sich vor, Sie haben 30 Sekunden Zeit, um dies einem nicht sehr technisch versierten Verwandten zu erklären.

Irgendwelche Vorschläge?

32
Anders

Update 09/2018:

Während ich zuvor festgestellt habe, dass dies eine gute Option sein könnte, hat sich die Welt verändert, und die Verwendung von Elektrofahrzeugen ist trotz der unten genannten Nachteile kein besonders zuverlässiger Indikator mehr. Es gibt Artikel wie dieser von Troy Hunt , die das gesamte Problem erklären, aber kurz gesagt, Browser behandeln EV-Zertifikate nicht mehr als etwas Besonderes und verbergen oder reduzieren die Indikatoren für den EV-Status .

Wenn Sie beispielsweise die erste der zuvor gezeigten Websites verwenden, wird die folgende Anzeige in Chrome 69, Edge, Firefox 62 und Internet Explorer 10) angezeigt. Safari auf Mobilgeräten zeigt ein grünes Vorhängeschloss und " Barclays PLC ", Chrome auf dem Handy zeigt ein grünes Vorhängeschloss," https "in grün, dann den Rest der URL in schwarz.

(EV display in current browsers (09/2018)

Mit anderen Worten, selbst wenn die Site ein EV-Zertifikat verwendet, gibt es keinen einzigen Indikator mehr, der einer nicht technischen Person leicht mitgeteilt werden kann. Es war immer den Browsern ausgeliefert und wird nicht mehr als etwas Besonderes behandelt.

Also, was ist die Alternative? Nichts fällt mir ein: Die folgenden URLs stammen aus einer Reihe von Subdomains der Bankseiten, was die Suche nach dem Banknamen erschwert und auf einigen Mobilgeräten, auf denen nicht die vollständige URL angezeigt wird, nicht funktioniert. Das Vorhängeschlosssymbol ist einfach zu umgehen, da kostenlose SSL-Zertifikate für von Ihnen kontrollierte Domänen verfügbar sind. In den Browsern wird derzeit meistens "https: //" angezeigt, jetzt jedoch nicht "http: //". Wenn Sie sich jedoch darauf verlassen, hat der Fall die gleichen Probleme wie bei der Verwendung der grünen Adressleiste.

Daher müssen Sie die Bankadresse jedes Mal in die Adressleiste eingeben und absolut sicher sein, dass keine Tippfehler vorliegen. Dies ist auch keine zuverlässige Methode. Die Suche ist nicht zuverlässig: Die meisten Suchanbieter sind ziemlich gut darin, gefälschte Links in Anzeigen mit Begriffen wie "Online-Banking-Login" auszusortieren, aber es wird nur ein fehlender Link benötigt. Durch das Folgen von Links von der Website der Hauptbank wird das Überprüfungsproblem nur um eine Ebene nach oben verschoben.

Ich nehme an, es liegt nur daran, vorsichtig zu sein: Verwenden Sie ein einzelnes Gerät, um auf die Bankenseite zuzugreifen, und verwenden Sie ein Lesezeichen, das bei der Erstellung sorgfältig überprüft wurde. Lassen Sie niemanden auf dieses Gerät zugreifen, damit es nicht geändert werden kann. Es ist wahrscheinlich für einige Leute sinnvoll, aber ich konnte sehen, dass dies eine zu hohe Belastung für den durchschnittlichen Benutzer darstellt, wenn Geräte mit Familienmitgliedern geteilt werden oder auf die Mitarbeiter zugreifen können.

Original 02/2016:

Ich wollte vorschlagen, dass sichergestellt wird, dass auf dem Anmeldebildschirm für das Online-Banking-System der Name der Bank in der Adressleiste grün angezeigt wird. Aber dann fragte ich mich, ob eine der mir bekannten lokalen Banken das richtig gemacht hatte.

(URL bars of UK banks

Es ist weniger ermutigend als ich gehofft hatte. Für diese neun ziemlich großen Banken geben 6 den Namen der Bank in der EV-Zertifizierungsleiste an. 2 Geben Sie den Namen der übergeordneten Gruppe an (was möglicherweise nicht immer offensichtlich ist), und Sie haben nicht einmal ein EV-Zertifikat.

Das EV-Zertifikat soll dies vereinfachen, wenn es ordnungsgemäß verwendet wird. Sie können es nicht einfach fälschen und es befindet sich außerhalb des Seitenbereichs und kann daher nicht von einem böswilligen Akteur eingefügt werden. Es scheint jedoch, dass Banken es nicht so gut nutzen können.

28
Matthew

Warum Sicherheitsindikatoren im Vergleich zu Phishing fehlschlagen

Es können keine Maßnahmen ergriffen werden, die wirtschaftlich rentabel sind. Anders ausgedrückt, es ist zu mühsam, sich gegen Phishing-Angriffe zu verteidigen. Siehe 'So lange und nein, danke für die externen Effekte' für ein Beispiel zur US-Wirtschaft und zu Informationsarbeitern.

Sie haben Recht, dass die Überprüfung der URL-Korrektheit fehleranfällig ist und passive HTTPS-Sicherheitsindikatoren ein großer Witz sind. Sie bleiben unbemerkt, sie sind seit Jahren bedeutungslos (was bedeutet es, wenn die Tastatur blau oder grün oder grau ist!?), Und wenn sie prominenter/aktiver wären, würden sich die Leute daran gewöhnen, sie zu sehen, und Angriffe könnten einfach kaufen ein Zertifikat für eine nicht autorisierte URL, damit der Name ausgecheckt wird.

Die Lösung für dieses Problem muss architektonisch sein, anstatt sich darauf zu verlassen, die Zeit der Menschen zu verschwenden und darauf, dass diese Menschen keine Fehler machen. Warum verfügen Webbrowser nicht über ein zentrales, vertrauenswürdiges Repository, über das die URLs von Banken und seriösen Zahlungs-/Überweisungswebsites überprüft werden können, sodass für solche Websites eindeutige Sicherheitsindikatoren verwendet werden können?

Lösung: Lassen Sie Benutzer sich auf eine sichere Interaktion verlassen, anstatt sich mit den Einschränkungen von Indikatoren auseinanderzusetzen

Ich würde den Leuten sagen, sie sollen einmal auf die Website gehen, sicherstellen, dass die URL einmal korrekt ist (Sie können ihnen helfen) und sie in ihren Favoriten speichern. Verwenden Sie ausschließlich die Schaltfläche "Favoriten", damit sie wissen , dass sie sich auf der richtigen Website befinden. Ich würde ihnen (ohne Details) sagen, dass Sie nie wissen, wo Sie landen werden, wenn Sie auf einen Link klicken oder nach einer Website suchen, aber der Favoriten-Button bringt Sie immer an den richtigen Ort. Wie? Ist egal.

Zu diesem Zeitpunkt landen Benutzer garantiert auf der richtigen URL. Wenn ein aktiver MITM-Angriff auftritt, erhalten sie die beängstigende Zertifikatwarnung, die sie normalerweise nicht für ihre Bank-Website haben. Die Gewöhnung an Warnungen ist eine sehr reale Sache, und es fehlen Zahlen, um festzustellen, ob Benutzer im Kontext einer zuvor vertrauenswürdigen Bank-Website darauf achten würden. Eine Verbesserung dieser Warnung (z. B. Erschreckung für Bankseiten) würde auch Kenntnisse darüber erfordern, was die Website einer Bank ist und was nicht.

40

"Ich frage einen normalen Benutzer, wie er überprüfen kann, ob der Browser HTTPS verwendet und ob Sie sich auf der richtigen Website befinden ..."

Ich stimme dem zu, was andere hier über die Suche nach dem Schloss sowie das "s" in https und die Überprüfung, ob die URL nach dem // korrekt ist, gesagt haben. Daran erinnere ich meine Kunden. Alle Finanzinstitute werden diese Dinge mindestens haben

Andere Ansätze wie der "grüne Name" in EV-Zertifikaten sind hilfreich, aber nicht alle Banken verwenden sie, da sie viel teurer sind und mehr Papierkram für die Implementierung (um zu beweisen, wer Sie sind) erfordern als ein Standard-SSL-Zertifikat.

Zwei Dinge, die ich zur Diskussion hinzufügen möchte, sind, sich vielleicht auf wie Leute zu konzentrieren, die auf die Bankseite gelangen.

Wenn sie über ein Lesezeichen (in Ordnung, solange Sie immer denselben Computer und Browser verwenden) oder über die mobile App der Bank oder durch jedes Eingeben der (hoffentlich kurzen und richtig geschriebenen) URL ihrer Bank dorthin gelangen, Dann ist die Wahrscheinlichkeit von Phishing- oder MITM-Angriffen sehr viel geringer.

Wenn sie jedoch auf einen Link in einer E-Mail antworten, der behauptet, von der Bank zu stammen (immer zweifelhaft), oder von den Ergebnissen einer Suchmaschine abweichen, sollten sie besonders vorsichtig sein oder diese Wege ganz meiden.

Das andere, was ich mit meinen Kunden mache, ist, sie vor den Konsequenzen zu warnen, wenn sie nachlässig werden ... wie das Auffinden von Transaktionen, die sie nicht getätigt haben, und/oder Geld, das von ihrem Konto abgebucht wurde und in Länder transferiert wurde, in denen eine Wiederherstellung möglicherweise unmöglich ist (z als Russland oder China). Grundsätzlich kann ein wenig Angst/Paranoia einen großen Beitrag dazu leisten, die Leute wachsam und ihre Konten sicher zu halten. Hoffe das hilft!

3
user98937

Im Wesentlichen geht es bei Ihrer Frage um die Authentifizierung. In diesem Fall sind die Benutzer, die die Bank-Website authentifizieren, tatsächlich die Bank.

Ich denke, Sie haben Recht, und der Benutzer wird Schwierigkeiten haben, die Bank über die URL zu authentifizieren (viele Banken haben beispielsweise mehrere URLs). Sie haben auch Recht, dass Benutzer in Bezug auf URLs nicht besonders ausgefeilt sind und diese nicht richtig verstehen (und nicht geschult werden können).

Ein Ansatz, den ich bei einigen Banken gesehen habe, ist, dass die Bank immer ein gemeinsames Geheimnis anzeigt, bevor sich der Benutzer authentifiziert. Es funktioniert ungefähr so:

Der Benutzer führt eine Vorauthentifizierung durch Eingabe eines Benutzernamens und einer Antwort auf eine Sicherheitsfrage durch.

Auf der Website wird ein Bild, Word oder beides angezeigt, das der Benutzer ausgewählt hat. Dies bietet die Gewissheit, dass die Bank tatsächlich die Bank ist, da nur die Bank das Bild oder die Phrase kennt, die der Benutzer ausgewählt hat.

Der Benutzer gibt dann das Passwort ein.

2
Steve Sether

Ich verlasse mich bei dieser Prüfung gerne auf die Funktion zum automatischen Ausfüllen meines Passwort-Managers.

Das Grundprinzip ist, dass ich nicht klug genug sein werde, um die Site-URL im Browser mit der erwarteten abzugleichen, während ein Passwort-Manager dies tut.

Wenn ich also sehe, dass der Eintrag für die Site ausgefüllt wurde, ist die Site echt, sonst sollte ich mir Sorgen machen.

Der Passwort-Manager muss natürlich "gut" sein, aber das ist ein weiteres Problem.

1
WoJ

Die Antwort von Steve DM (Überprüfen und Lesezeichen der Seite) ist vom absoluten Sicherheitsstandpunkt aus besser, aber eine andere praktikable (und möglicherweise benutzerfreundlichere) Option besteht darin, sie der Bank jedes Mal bei Google mitzuteilen, anstatt auf einen Link zu klicken.

Auf diese Weise verlassen Sie sich darauf, dass Google Sie an den richtigen Ort bringt, anstatt auf einen zwielichtigen Link und Ihre Beobachtungsfähigkeiten.

Es ist einfach und etwas, das Ihr Freund bereits regelmäßig tut.

HINWEIS: Dies ist immer noch anfällig für MITM-Angriffe, verhindert jedoch grundlegende Phishing-Angriffe. Ich würde nur einer nicht technisch versierten Person sagen, dass sie immer ihre Bank (und andere sensible Websites) googeln und sich nicht an sensiblen Websites an öffentlichen Orten anmelden soll.

0
Dominic A.