好问题！碰巧，我可以提供关于这个问题的实验数据——而且这些数据很吸引人。（我注意到一些答案包含对这些安全图像提供多少安全性的第一原则的推测。然而，这些数据结果让我们所有人都感到惊讶！）

实验方法。 “安全图像”已在一项用户研究中进行了评估，该研究是对被要求在实验室进行网上银行业务的普通用户进行的。他们不知道的是，他们中的一些人以一种受控的方式被“攻击”，看他们是否会安全行事，以及安全图像是否有帮助。

研究人员评估了两种攻击：

• MITM 攻击：研究人员模拟了一种剥离 SSL 的中间人攻击。攻击的唯一可见迹象是缺少 HTTPS 指示器（地址栏中没有 HTTPS，没有锁定图标等）。

• 安全图像攻击：研究人员模拟了网络钓鱼攻击。在这次攻击中，看起来用户正在与真实的银行站点进行交互，只是缺少安全图像。取而代之的是，攻击放置了以下文本：

  SiteKey 维护通知：美国银行目前正在升级我们屡获殊荣的 SiteKey 功能。如果您的 SiteKey 在接下来的 24 小时内未再次出现，请联系客户服务。

  我觉得这是一次绝妙的攻击。与其试图弄清楚要向用户显示什么安全图像，不如根本不显示任何安全图像，而只是试图说服用户没有安全图像是可以的。不要试图击败最强大的安全系统；只是通过破坏其基础来绕过整个事情。

无论如何，研究人员随后继续观察用户在以这些方式受到攻击时的行为（在他们不知情的情况下）。

实验结果。 结果？攻击非常成功。

• 没有一个用户避免了 MITM 攻击；每个暴露于 MITM 攻击的人都为之倾倒。（没有人注意到他们受到了攻击。）

• 97% 的暴露于安全图像攻击的人中了它。只有 3%（60 名参与者中有 2 名）在受到此攻击时表现安全并拒绝登录。

结论。 让我尝试从这个实验中吸取一些教训。

• 首先，安全图像无效。他们很容易被非常简单的攻击技术击败。

• 其次，在评估哪些安全机制有效时，我们的直觉并不可靠。即使是专业的安全专家也可能得出错误的结论。例如，看看这个线程，其中一些人认为安全图像增加了一些安全性，因为它们迫使攻击者更加努力地工作并实施 MITM 攻击。从这个实验中，我们可以看出这个论点是站不住脚的。事实上，一个非常简单的攻击（克隆网站并将安全映像替换为安全映像功能目前已停止维护的通知）在实践中非常成功。

  因此，当系统的安全性取决于用户的行为方式时，重要的是进行严格的实验来评估普通用户在现实生活中的实际行为方式。我们的直觉和“从第一原则”分析不能替代数据。

• 第三，普通用户不会像安全人员有时希望的那样行事. 有时我们把一个协议说成是“用户做某事，服务器做某事，如果用户检测到任何偏差，用户就会知道他受到了攻击”。但这不是用户的想法。用户没有安全人员所具有的可疑心态，安全也不是他们最关心的问题。如果事情不太对劲，安全专家可能会怀疑她受到了攻击——但这通常不是普通用户的第一反应。普通用户已经习惯了网站不稳定的事实，以至于他们在看到奇怪或不寻常的东西时的第一反应往往是耸耸肩，并认为互联网（或网站）在片刻。所以，

• 第四，期望用户注意到缺少安全指示器（如 SSL 锁图标）是不现实的。我敢肯定，我们小时候都玩过“Simon Says”。游戏的乐趣完全在于——即使你知道要小心它——很容易忽视“西蒙说”提示的缺失。现在考虑一个 SSL 图标。在进行网上银行时，寻找 SSL 图标不是用户的主要任务；相反，用户通常只想支付账单并完成家务，以便他们可以继续做更有用的事情。在那种情况下，不注意到它的缺席是多么容易！

顺便说一句，您可能想知道银行业如何回应这些调查结果。毕竟，他们向用户强调了他们的安全图像功能（以各种营销名称）；那么他们对安全图像功能在实践中几乎无用的发现有何反应？答：他们没有。他们仍然使用安全图像。如果你问他们的反应，典型的反应是“嗯，我们的用户真的很喜欢和欣赏安全图像”。这告诉你一些事情：它告诉你安全图像在很大程度上是一种安全剧场形式。它们的存在是为了让用户对这个过程感觉良好，而不是实际防止严重的攻击。

参考。有关我上面总结的实验的更多细节，请阅读以下研究论文：

• 皇帝的新安全指标。Stuart E. Schechter、Rachna Dhamija、Andy Ozment 和 Ian Fischer。IEEE 安全与隐私 2007。（编辑：更新链接）

我不认为他们的安全性特别高。但它们不仅仅是安全剧院。它们可能会使攻击者的工作更加困难，而安全取证专家追踪异常的工作则更加容易。

假设没有安全图像/短语或等价物。然后，中间人攻击者可以构建网站的虚假版本，以捕获毫无戒心的用户的凭据，而不会弹出任何危险信号。（假设他们可以让用户注意到他们的银行缺少 https 或者在用户的 Web 浏览器中安装了欺诈证书）。

现在，让我们分析一下我的银行（ING）使用的方案，每当我从新浏览器注册时，我首先输入我的用户名，银行回复“Hi jim bob”，请回答两个（随机）安全问题（来自大约 5) 的列表，因为您以前没有使用过这台计算机。这些问题的熵有些低，但您仍然必须了解我和我的家族史才能正确；或将这些问题代理到我的电脑上。然后它显示我的安全图像，并要求我输入密码。

所以现在中间人攻击必须是活跃的（然后是一个总是等待用户提供完美模仿假站点的凭据的假服务器）。首先，我可能认为当这是来自我的普通计算机时，我必须重新输入我的安全问题。现在，MitM 必须在攻击期间查询实际银行，以首先找到为我的帐户提取的两个随机问题，将其无缝发送回我并记录我的答案，然后通过他们的 https 连接将我的答案发送回真实银行抓取安全图像。

然后攻击者要么必须获取安全图像的 URL，要么自己下载它，然后将其上传到他们的中间网络服务器，以便我从他们那里下载。如果说他们只是获取安全图像的 URL，这可能是可疑的，因此不同的 IP 查看了安全图像，然后建立了到他们网站的 https 连接以获取其他所有内容。或者如果攻击者下载了它并重新显示给我，现在攻击者的 IP 地址已经暴露，他们可能能够阻止/关闭该恶意控制的 IP 地址。

能不能绕过，肯定是的。但它不仅仅是安全剧院，还可能与 https 一起成为深度防御的有用部分。越想越觉得这是主要卖点。如果我赶时间，我可能不会注意到我的银行是否不是 https。如果提示重新输入我的安全问题；我可能会暂停并仔细检查它是否是带有实际银行 URL 的 https（不是http或类似的东西）。

如果是这种情况，安全图像似乎没有提供额外的安全性，

现在，网络钓鱼者必须制作一个能够与原始网站交互的页面，而不是提取登录页面的静态副本。

一个极端的假设是它们非常愚蠢，并且会使用自己的 IP 或可以链接到它们的 IP 来检索自定义图像。

一个不太极端的愚蠢假设是，他们将检索具有一个或几个不同 IP 地址的许多自定义图像，这可能会引起对来自不知道使用运营商范围 NAT 的 ISP 的 IP 地址的怀疑。

但是对于简单类型的网络钓鱼，使用普通的登录名/密码对也存在相同的“源 IP”问题：这些收集的数据的唯一价值是它们可用于登录原始网站。如果网络钓鱼者不想引起怀疑，他们总是需要一个“好看”的 IP 地址池（什么是“好看”的地址取决于网页及其受众）。

对于银行网络钓鱼，钱必须通过“骡子”转移到中间账户。渔民不仅需要 IP 地址（僵尸网络可以提供这些地址），还需要中间银行账户。真实的人必须提供这些帐户。

大规模的网络钓鱼当然需要良好的计划和严格的安全程序，因为迟早会发现和调查捕捞活动。如果是这样，负责网络钓鱼操作的人当然会关心他们的隐私（不被发现）。

我不知道此类操作的确切细节，但我不相信添加“下载安全映像”会起到威慑作用。

如果它们有助于使用户相信恶意网站是合法的，则实际上可能是有害的。

确实是的。

一般可能成为钓鱼用户的受害者无法对方案进行适当的安全评估。几乎所有此类用户都会高估安全优势。

用户甚至会检查安全图像吗？

这是解决信任问题的勇敢尝试。SSL 非常适合计算机建立信任——但对人们来说毫无意义。如果您能想出一种更好的方法让网站向非技术用户提供证明，证明它看起来就是这样，那么我很想听听它。

正如其他人所说，他们在网络钓鱼者面前设置了另一个障碍。

但与独立的网络钓鱼站点相比，这意味着真正的服务提供商可能对活动有一定的了解；看到来自同一地址的不同用户的大量请求，然后没有进一步的交互或自动交互应该是相当可见的。