SiteKey - SiteKey

SiteKey je webový bezpečnostní systém, který poskytuje jeden typ vzájemné ověřování mezi koneční uživatelé a webové stránky. Jeho hlavním účelem je odradit phishing.

SiteKey byl nasazen několika velkými finančními institucemi v roce 2006, včetně americká banka a Skupina Vanguard. Bank of America a The Vanguard Group ukončily používání v roce 2015.[1][2]

Vlastníkem produktu je Zabezpečení dat RSA která v roce 2006 získala svého původního výrobce Passmark Security.

Jak to funguje

SiteKey používá následující výzva-odpověď technika:[3][4][5]

  1. Uživatel identifikuje (ne se autentizuje) zadáním svého uživatelského jména (nikoli však hesla). Pokud je uživatelské jméno platné, web pokračuje.
  2. Pokud prohlížeč uživatele neobsahuje token stavu na straně klienta (například Webový cookie nebo a Flash cookie ) z předchozí návštěvy je uživatel vyzván k odpovědi na jednu nebo více „bezpečnostní otázka „uživatel zadal v době registrace na webu, například„ Kterou školu jste naposledy navštěvoval? “
  3. Web se uživateli ověří zobrazením obrázku a / nebo doprovodné fráze, kterou dříve nakonfiguroval. Pokud je uživatel nerozpozná jako své vlastní, předpokládá, že web je phishingový web a okamžitě to opustit. Pokud je pozná, může web považovat za autentický a pokračovat.
  4. Uživatel se na webu autentizuje zadáním hesla. Pokud heslo pro dané uživatelské jméno není platné, celý proces začíná znovu. Pokud je platný, považuje se uživatel za ověřeného a přihlášeného.

Pokud je uživatel na phishingovém webu s jinou doménou webového serveru než je legitimní doména, prohlížeč uživatele v kroku (2) odmítne odeslat stavový token; vlastník phishingového webu bude muset buď přeskočit zobrazování správného bezpečnostního obrazu, nebo vyzvat uživatele k bezpečnostním otázkám získaným z legitimní domény a předat odpovědi. Teoreticky by to mohlo způsobit, že se uživatel stane podezřelým, protože by uživatele mohlo překvapit, že bude znovu vyzván k zadání bezpečnostních otázek, i když nedávno použil legitimní doménu ze svého prohlížeče. V praxi však existují důkazy, které si uživatelé takové anomálie obecně nevšimnou.[5]

Slabé stránky

Harvardská studie[6][7] shledán SiteKey 97% neúčinným. V praxi si skuteční lidé podle výsledků nevšimnou, nebo je jim jedno, kdy SiteKey chybí.

Vyžaduje také, aby uživatelé sledovali více ověřovacích informací. Někdo přidružený k N různé weby, které používají SiteKey, si musí pamatovat N různé 4-n-tice informací: (web, uživatelské jméno, fráze, heslo).

Přerušení

V květnu 2015 Bank of America oznámila, že SiteKey bude pro všechny uživatele ukončen do konce roku a umožní uživatelům přihlásit se pomocí svého uživatelského jména a hesla v jednom kroku.[1] V červenci 2015 společnost Vanguard rovněž ukončila používání SiteKey pro své webové stránky.[2]

Poznámky

  1. ^ A b „Více bezpečnostních nástrojů a jednodušší přihlášení v Bank of America“. Archivovány od originál dne 2015-05-10. Citováno 2015-05-10.
  2. ^ A b „Zjednodušili jsme proces přihlašování na Vanguard.com.“. Archivovány od originál dne 04.03.2016.
  3. ^ https://www.bankofamerica.com/privacy/faq/sitekey-faq.go
  4. ^ Jim Youll (18. července 2006). „Zranitelnosti v zabezpečení SiteKey v Bank of America“ (PDF). Archivovány od originál (PDF) dne 31. 12. 2016.
  5. ^ A b Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4. února 2007). „Císařovy nové bezpečnostní indikátory“ (PDF).
  6. ^ Joel Hruska (20. června 2007). „Bezpečnostní studie pokrývá díry v požadavcích na pokročilou autentizaci“. Ars Technica.
  7. ^ Schecter; Dhamija; Ozment; Fischer (2007-05-20). „Císařovy nové bezpečnostní indikátory: Vyhodnocení autentizace webových stránek a účinek roleplayingu na studie použitelnosti“ (PDF). Archivovány od originál (PDF) dne 2007-09-27. Citováno 2020-04-23. Citovat deník vyžaduje | deník = (Pomoc)

externí odkazy