СайтКей

SiteKey — это веб-система безопасности, обеспечивающая один тип взаимной аутентификации между конечными пользователями и веб-сайтами. Его основная цель – предотвращение фишинга .

SiteKey был внедрен несколькими крупными финансовыми учреждениями в 2006 году, включая Bank of America и The Vanguard Group . И Bank of America, и The Vanguard Group прекратили использование в 2015 году. ^[1]^[2]

Продукт принадлежит компании RSA Data Security , которая в 2006 году приобрела своего первоначального производителя Passmark Security.

Как это работает

SiteKey использует следующую технику «запрос-ответ» : ^[3]^[4]^[5]

Пользователь идентифицирует себя ( не аутентифицирует) себя на сайте, вводя свое имя пользователя (но не пароль). Если имя пользователя действительное, сайт продолжит работу.
Если браузер пользователя не содержит токена состояния на стороне клиента (например, веб-файла cookie или Flash-файла cookie ) от предыдущего посещения, пользователю предлагается ответить на один или несколько « вопросов безопасности », указанных пользователем на странице время регистрации на сайте, например «Какую школу вы посещали в последний раз?»
Сайт аутентифицирует себя для пользователя, отображая изображение и/или сопровождающую фразу, которые они ранее настроили. Если пользователь не признает их своими, он должен предположить, что сайт является фишинговым, и немедленно покинуть его. Если пользователь узнает их, он может считать сайт подлинным и продолжить.
Пользователь авторизуется на сайте, вводя свой пароль. Если пароль для этого имени пользователя недействителен, весь процесс начинается заново. Если он действителен, пользователь считается аутентифицированным и вошедшим в систему.

Если пользователь находится на фишинговом сайте с доменом веб-сайта, отличным от законного домена, браузер пользователя откажется отправлять токен состояния на этапе (2); Владельцу фишингового сайта придется либо пропустить отображение правильного изображения безопасности, либо запросить у пользователя секретные вопросы, полученные из законного домена, и передать ответы. Теоретически это может вызвать у пользователя подозрения, поскольку пользователь может быть удивлен, если ему снова будет предложено задать секретные вопросы, даже если он недавно использовал законный домен из своего браузера. Однако на практике есть свидетельства того, что пользователи обычно не замечают таких аномалий. ^[5]

Слабые стороны

Гарвардское исследование ^[6]^[7] нашел SiteKey на 97% неэффективным. На практике, согласно их результатам, реальные люди не замечают или не обращают внимания на отсутствие SiteKey.

Это также требует от пользователей отслеживать дополнительную информацию для аутентификации. Кто-то, связанный с N различными веб-сайтами, использующими SiteKey, должен запомнить N различных четырех кортежей информации: (сайт, имя пользователя, фраза, пароль) .

Прекращение производства

В мае 2015 года Bank of America объявил, что к концу года поддержка SiteKey будет прекращена для всех пользователей и позволит пользователям входить в систему, используя свое имя пользователя и пароль, за один шаг. ^[1] В июле 2015 года Vanguard также прекратила использование SiteKey на своем веб-сайте. ^[2]

Примечания

^ Jump up to: ^а ^б «Больше инструментов безопасности и более простой вход в Bank of America» . Архивировано из оригинала 10 мая 2015 г. Проверено 10 мая 2015 г.
^ Jump up to: ^а ^б «Мы упростили процесс входа на Vanguard.com» . Архивировано из оригинала 4 марта 2016 г.
^ «Часто задаваемые вопросы об онлайн- и мобильном банкинге Bank of America» .
^ Джим Юлл (18 июля 2006 г.). «Уязвимости системы SiteKey Security в Bank of America, связанные с мошенничеством» (PDF) . Архивировано из оригинала (PDF) 31 декабря 2016 г.
^ Jump up to: ^а ^б Стюарт Э. Шехтер; Рахна Дамиджа; Энди Озмент; Ян Фишер (4 февраля 2007 г.). «Новые индикаторы безопасности Императора» (PDF) .
^ Джоэл Хруска (20 июня 2007 г.). «Исследование безопасности выявило дыры в утверждениях о расширенной аутентификации» . Арс Техника .
^ Шектер; Дамиджа; Озмент; Фишер (20 мая 2007 г.). «Новые индикаторы безопасности императора: оценка аутентификации веб-сайта и влияние ролевых игр на исследования удобства использования» (PDF) . Архивировано из оригинала (PDF) 27 сентября 2007 г. Проверено 23 апреля 2020 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

Внешние ссылки

[BOARemovesSiteKey-1] Jump up to: ^а ^б «Больше инструментов безопасности и более простой вход в Bank of America» . Архивировано из оригинала 10 мая 2015 г. Проверено 10 мая 2015 г.

[VanguardRemovesSiteKey-2] Jump up to: ^а ^б «Мы упростили процесс входа на Vanguard.com» . Архивировано из оригинала 4 марта 2016 г.

[3] «Часто задаваемые вопросы об онлайн- и мобильном банкинге Bank of America» .

[4] Джим Юлл (18 июля 2006 г.). «Уязвимости системы SiteKey Security в Bank of America, связанные с мошенничеством» (PDF) . Архивировано из оригинала (PDF) 31 декабря 2016 г.

[usablesecurity-5] Jump up to: ^а ^б Стюарт Э. Шехтер; Рахна Дамиджа; Энди Озмент; Ян Фишер (4 февраля 2007 г.). «Новые индикаторы безопасности Императора» (PDF) .

[ArsTechnicaStudy2007-6] Джоэл Хруска (20 июня 2007 г.). «Исследование безопасности выявило дыры в утверждениях о расширенной аутентификации» . Арс Техника .

[SchecterEmperorNewSecurity2007-7] Шектер; Дамиджа; Озмент; Фишер (20 мая 2007 г.). «Новые индикаторы безопасности императора: оценка аутентификации веб-сайта и влияние ролевых игр на исследования удобства использования» (PDF) . Архивировано из оригинала (PDF) 27 сентября 2007 г. Проверено 23 апреля 2020 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[1]

[2]

[3]

[4]

[5]

[6]

[7]