如此处所述,一些银行使用 SiteKey 机制试图提供对网络钓鱼的防御。(这是一种在用户输入用户名之后但在输入密码之前向用户显示个性化图像(每个用户都有自己的自定义图像)的方案。理论上,这应该让用户验证他们在 BOA 上页面,而不是网络钓鱼站点。)评论和答案表明这种方法存在一些问题,但该问题与该方法是否有效无关。
对于可能正在考虑使用相同方案的未来访问者,我想在网站上提出问题:
这是对网络钓鱼的有效防御吗?也许不是单独行动,而是作为纵深防御战略的一步,或者这是否给人一种虚假的安全感?如果是这样,它只是没有用,还是因为错误的安全感而采用这种方案更危险?
SiteKey 不能有效防御网络钓鱼。原则上,它可能对一小部分非常认真地检查图像并了解网络安全工作原理的专家用户有所帮助,但这些用户很少见。然而,这样的机制确实需要帮助保护普通用户,而不仅仅是计算机安全专家。而且,对于典型用户而言,SiteKey 不能有效防御网络钓鱼,原因如下所述。
好消息是,今天,网络钓鱼的风险规模似乎相对较低。网络钓鱼攻击今天似乎不太成功。因此,SiteKey 的不足可能是可以接受的。也就是说,SiteKey 主要是安全剧院:对于典型用户而言,它不会增加太多安全性。
我应该详细说明我如何才能做出如此强烈的陈述。碰巧,这个问题已经在研究文献中进行了研究,并且有关于它的实验数据——而且这些数据令人着迷。事实证明,这些数据给我们所有人带来了一些惊喜!
实验方法。 SiteKey 对自定义“安全图像”(和安全短语)的使用已在一项用户研究中进行了评估,该研究是针对被要求在实验室进行在线银行业务的普通用户进行的。他们不知道的是,他们中的一些人以一种受控的方式被“攻击”,看他们是否会安全行事,以及安全图像是否有帮助。
研究人员评估了两种攻击:
MITM 攻击:研究人员模拟了一种剥离 SSL 的中间人攻击。攻击的唯一可见迹象是缺少 HTTPS 指示器(地址栏中没有 HTTPS,没有锁定图标等)。
安全图像攻击:研究人员模拟了网络钓鱼攻击。在这次攻击中,看起来用户正在与真实的银行站点进行交互,只是缺少 SiteKey 安全图像(和安全短语)。取而代之的是,攻击放置了以下文本:
SiteKey 维护通知:美国银行目前正在升级我们屡获殊荣的 SiteKey 功能。如果您的 SiteKey 在接下来的 24 小时内未再次出现,请联系客户服务。
我觉得这是一次绝妙的攻击。与其试图弄清楚要向用户显示什么安全图像(或安全短语),不如根本不显示任何安全图像,而只是试图说服用户没有安全图像是可以的。不要试图击败最强大的安全系统;只是通过破坏其基础来绕过整个事情。
无论如何,研究人员随后继续观察用户在以这些方式受到攻击时的行为(在他们不知情的情况下)。
实验结果。 结果?攻击非常成功。
没有一个用户避免了 MITM 攻击;每个暴露于 MITM 攻击的人都为之倾倒。(没有人注意到他们受到了攻击。)
97% 的暴露于安全图像攻击的人中了它。只有 3%(60 名参与者中有 2 名)在受到此攻击时表现安全并拒绝登录。
结论。 让我尝试从这个实验中吸取一些教训。
首先,SiteKey(和安全图像)无效。SiteKey 很容易被非常简单的攻击技术打败。
其次,在评估哪些安全机制有效时,我们的直觉并不可靠。即使是专业的安全专家也可能得出错误的结论。例如,我看到一些有能力和知识渊博的安全人员认为安全图像增加了一些安全性,因为它们迫使攻击者更加努力地工作并实施 MITM 攻击。从这个实验中,我们可以看出这个论点是站不住脚的。事实上,一个非常简单的攻击(克隆网站并将安全映像替换为安全映像功能目前已停止维护的通知)在实践中非常成功。
因此,当系统的安全性取决于用户的行为方式时,重要的是进行严格的实验来评估普通用户在现实生活中的实际行为方式。我们的直觉和“从第一原则”分析不能替代数据。
第三,普通用户不会像安全人员有时希望的那样行事. 有时我们把一个协议说成是“用户做某事,服务器做某事,如果用户检测到任何偏差,用户就会知道他受到了攻击”。但这不是用户的想法。用户没有安全人员所具有的可疑心态,安全也不是他们最关心的问题。如果事情不太对劲,安全专家可能会怀疑她受到了攻击——但这通常不是普通用户的第一反应。普通用户已经习惯了网站不稳定的事实,以至于他们在看到奇怪或不寻常的东西时的第一反应往往是耸耸肩,并认为互联网(或网站)在片刻。所以,
第四,期望用户注意到缺少安全指示器(如 SSL 锁图标)是不现实的。我敢肯定,我们小时候都玩过“Simon Says”。游戏的乐趣完全在于——即使你知道要小心它——很容易忽视“西蒙说”提示的缺失。现在考虑一个 SSL 图标。在进行网上银行时,寻找 SSL 图标不是用户的主要任务;相反,用户通常只想支付账单并完成家务,以便他们可以继续做更有用的事情。在那种情况下,不注意到它的缺席是多么容易!
顺便说一句,您可能想知道美国银行(或使用类似方法的其他银行)如何回应这些调查结果。毕竟,美国银行向用户强调其 SiteKey 功能;那么他们对安全图像功能在实践中几乎无用的发现有何反应?答:他们没有。他们仍然使用 SiteKey。如果你问他们的反应,典型的反应是“嗯,我们的用户真的很喜欢和欣赏 SiteKey”。这告诉你一些事情:它告诉你 SiteKey 在很大程度上是一种安全剧院形式。显然,SiteKey 的存在是为了让用户对这个过程感觉良好,而不是实际保护免受严重攻击。
参考。有关我上面总结的实验的更多细节,请阅读以下研究论文:
答案是不。原因是该方案(通常称为 SiteKey)容易受到中间人或 MITM 攻击。在您输入您的用户名和任何其他“预认证”信息(例如您的帐户所在的司法管辖区)后,该网站向您显示的任何内容,都可以通过网络钓鱼站点从真实站点中检索;网络钓鱼站点所要做的就是联系真实站点,输入您刚刚输入的内容,然后它将从该站点接收“秘密”短语或图像,然后将其传递给您。然后您认为该网站是真实的并输入您的密码。
该方案可能会有所改进,也许是通过设置一个加密的 cookie,其中包含有关正在使用的设备的唯一标识信息,以某种用户可定义的方式改变站点的前门。这对 MITM 来说更难欺骗,但仍然容易受到攻击,如果 cookie 过期或用户清除缓存的 cookie,数据就会丢失,从而使真实站点无法使用该方法证明它是真实站点。
对网络钓鱼的最佳防御已经存在;使用受信任的 X.509 证书签署您的网站,提供第三方验证您就是您所说的那个人。如果证书经过适当的加密和散列处理,几乎不可能进行欺骗,而且它可以用来建立一个 HTTPS 会话,将用户的浏览器地址变为绿色(提供用户在正确位置的视觉反馈)。
主要风险在于,这种机制通常作为一种了解站点实际上是站点的方式呈现给用户。在这方面,它没有提供有意义的安全性,也不应该向用户解释,因为网络钓鱼站点可以简单地充当客户端并从页面中抓取信息并重新显示它。事实上,即使没有解释,许多用户认为这样的定制是为了证明该站点是正确的站点,对使用它的其他主要站点的解释。这可能导致网络钓鱼攻击通过最小的复杂性来提高效率。
也就是说,通过适当的用户教育,它可能是网站管理员进行网络钓鱼检测的有益功能。它确实提高了网络钓鱼攻击的技术门槛,并且需要更全面的攻击以防止使用它的站点能够判断网络钓鱼者的来源。也就是说,中间人仍然有可能从合法主机中提取信息,并且在僵尸网络资源丰富的情况下,可以从各种不匹配的 IP 地址请求图像网络钓鱼站点,以避免目标机构获得有关攻击的任何有意义的信息(尽管每次检测到的网络钓鱼尝试都会烧毁一个机器人)。
总体而言,我个人认为在很多情况下它不会带来有益的收益,因为适当的用户教育可以教会用户检查 SSL 证书,这是一个更好的网站真实性指标。基于知识的身份验证(至少在 SiteKey 样式实现中)仅对未受过教育的用户真正“有用”,并且在这种情况下完全失败。