向非技术人员解释如何检查您与 mybank.com 的连接是否安全?

信息安全 tls 银行 用户教育 用户界面 可用性
2021-08-28 00:10:25

我正在阅读瑞典银行家协会提供的安全建议他们包括这两条建议(我的翻译),我假设是教用户检查 SSL/TLS 并防止 SSL-strip:

  • 在您登录网上银行之前,请检查您浏览器地址栏中的银行地址是否为您的银行地址。
  • 登录页面上的网址应该以 开头,https://并且在浏览器中应该可以看到一个挂锁符号。

这是一个相当重要的话题,因为一些瑞典银行通过 HTTP 服务其主页(互联网银行的链接所在的位置),但它们都没有实施 HSTS。但是,我发现给出的建议存在一些问题:

  1. 如何检查它是否是我银行的地址?普通用户可能会去扫描 URL 以获取银行的名称,并在找到时感到满意。所以只有这个建议,你很容易上当mybank.com.evil.com/mybank.com(不幸的是,登录页面的 URL 通常不是很干净,因此客户会期望 URL 混乱。)
  2. “所以,我记得有什么用h和一对夫妇pt什么我应该寻找。http://?是啊,这可能是它。必须是安全的。”
  3. 在浏览器中寻找挂锁严重地?您可以将其包含在页面中,甚至不需要使用旧的网站图标技巧来欺骗阅读此建议的人。

自然地,我开始考虑在这个问题上给出一些真正好的建议,但我发现它出奇地难。建议应该是(A)简短,(B)即使对于技术知识很少的用户也易于记忆和理解,并且(C)适用于所有相当现代的浏览器。想象一下,你有 30 秒的时间向一个不太懂技术的亲戚解释这一点。

有什么建议?

4个回答

为什么安全指标失败与网络钓鱼

没有经济上可行的可以采取的行动。换句话说,防御网络钓鱼攻击太费力了。有关美国经济和信息工作者的示例,请参见“久而久之,不感谢外部因素” 。

你说得对,检查 URL 的正确性很容易出错,而 HTTPS 被动安全指标是个大笑话。它们被忽视了,它们多年来一直毫无意义(如果键盘是蓝色、绿色或灰色,这意味着什么!?),如果它们更加突出/活跃,人们会习惯于看到它们,攻击可以简单地购买恶意 URL 的证书,以便名称签出。

这个问题的解决方案必须是架构性的,而不是依赖于浪费人类的时间和所说的人类不犯错误。为什么网络浏览器没有一个集中的、受信任的存储库来验证银行和信誉良好的支付/转账网站的 URL,以便可以为这些网站使用独特的安全指标?

解决方案:让用户依赖安全的交互,而不是让他们处理指标的限制

我会告诉人们访问该网站一次,确保 URL 正确一次(您可以帮助他们),并将其保存在他们的收藏夹中。并专门使用收藏夹按钮,以便他们知道他们在正确的网站上。我会告诉他们(没有详细信息),您永远不知道单击链接或搜索网站时会到达哪里,但收藏夹按钮始终会将您带到正确的位置。如何?没关系。

在这个阶段,保证用户登陆正确的 URL。如果发生活跃的 MITM 攻击,他们收到可怕的证书警告,而他们的银行网站通常没有这种警告。警告习惯是一件非常真实的事情,并且缺少数据来确定用户是否会在以前受信任的银行网站的背景下关注它。改进此警告(例如,使银行网站更可怕)还需要了解什么是银行网站,什么不是银行网站。

更新 09/2018:

虽然我之前说过这可能是一个不错的选择,但世界已经发生了变化,即使考虑到下面提到的缺点,EV 的使用也不再是一个特别可靠的指标。Troy Hunt的这篇文章解释了整个问题,但简而言之,浏览器不再将 EV 证书视为特别特殊的东西,而是隐藏或减少了 EV 状态的指标。

以前面显示的第一个站点为例,分别在 Chrome 69、Edge、Firefox 62 和 Internet Explorer 10 中显示如下。移动设备上的 Safari 显示绿色挂锁和“Barclays PLC”,移动设备上的 Chrome 显示绿色挂锁,“https”为绿色,然后 URL 的其余部分为黑色。

当前浏览器中的 EV 显示 (09/2018)

换句话说,即使该站点确实使用了 EV 证书,也没有一个指标可以轻松地传达给非技术人员。它总是受浏览器的摆布,不再被视为什么特别的东西。

那么,有什么选择呢?什么都没有想到:下面的 URL 来自银行网站的一系列子域,这使得查找银行名称变得更加困难,并且它在某些不显示完整 URL 的移动设备上不起作用。考虑到您控制的域可以使用免费的 SSL 证书,挂锁符号很容易解决。浏览器目前大多显示“https://”,但现在不显示“http://”,但依靠剩下的情况与依靠绿色地址栏有大部分相同的问题。

这使得每次都在地址栏中输入银行地址,并且绝对确定它没有输入错误,这也不是一种可靠的方法。搜索不可靠:大多数搜索提供商都非常擅长清除广告中使用“网上银行登录”等术语的虚假链接,但它只需要一个丢失的链接。跟随主要银行网站的链接只会将验证问题上移一级。

我想这归结为要小心:使用单个设备访问银行网站,使用在创建时仔细检查过的书签,并且不允许其他任何人访问该设备,因此它们不能被修改。这对某些人来说可能是有道理的,但我可以看到这对普通用户来说负担太重,因为设备与家庭成员共享或同事可以访问。

原始 02/2016:

我打算建议确保在线银行系统的登录屏幕在地址栏中以绿色显示银行名称可能会起作用。但后来我开始怀疑我所知道的任何当地银行是否正确地做到了这一点。

英国银行的网址栏

它没有我希望的那么令人鼓舞。对于这九家相当大的银行,有 6 家在 EV 证书栏中提供银行名称。2 提供父组的名称(可能并不总是很明显),一个甚至没有 EV 证书。

EV 证书旨在简化此操作,如果使用得当 - 您不能轻易伪造它,并且它位于页面区域之外,因此无法被恶意行为者插入。但是,似乎银行在使用它方面做得并不好。

“我在问如何向普通用户解释如何检查浏览器是否使用 HTTPS 以及您是否在正确的站点上......”

我同意其他人在这里所说的关于在 https 中查找锁和“s”并验证 // 之后的 url 是否正确的说法。这就是我提醒我的客户要做的事情。所有金融机构都至少拥有这些东西

EV 证书中的“绿色名称”等其他方法很有帮助,但并非所有银行都使用它们,因为它们比标准 SSL 证书更昂贵并且需要更多的文书工作来实施(证明你是谁)。

我要添加到讨论中的两件事可能是关注人们如何访问银行网站。

如果他们通过书签(只要您始终使用同一台计算机和浏览器就可以),或通过银行的移动应用程序,或通过每次输入他们银行的(希望简短且拼写正确)网址到达那里,那么他们遇到网络钓鱼或 MITM 攻击的可能性就会大大降低。

但是,如果他们正在回复声称来自银行的电子邮件中的链接(总是可疑的),或者来自搜索引擎的结果,那么他们应该格外小心或完全避免这些途径。

我对我的客户做的另一件事是警告他们如果他们粗心大意的后果......比如发现他们没有进行的交易和/或他们账户中的钱被转移到可能无法恢复的国家(例如如俄罗斯或中国)。基本上,一点恐惧/偏执狂可以让人们保持警惕并确保他们的账户安全。希望这可以帮助!

本质上,您的问题是身份验证之一。在这种情况下,验证银行网站的用户实际上是银行。

我认为您是对的,用户将难以通过 URL 对银行进行身份验证(例如,许多银行有多个 URL)。你也是正确的,用户对 URL 并不是非常复杂,并且不(也不能接受培训)正确理解它。

我在一些银行看到的一种方法是,银行总是在用户进行身份验证之前显示共享密钥。它的工作原理是这样的:

用户通过输入用户名和安全问题的答案来进行预认证。

该网站显示用户选择的图像、单词或两者。这提供了银行实际上就是银行的保证,因为只有银行知道用户选择的图像或短语。

然后用户输入密码。

其它你可能感兴趣的问题
上一篇在给定明文及其密文的情况下计算 AES 加密密钥? 下一篇如何在不牺牲安全性的情况下生成易于键入的密码?