有几个网站(我记得雅虎也是这样做的,当我使用我的雅虎帐户时),例如美国银行显示SiteKey或用户在输入用户名后选择的类似图像,但在他们输入密码之前。从表面上看,这确保了登录页面对每个用户都是唯一的,因此网络钓鱼者不能只显示看起来像银行网站的静态登录页面,而是阻止他们只是在后台点击银行的网站并转发图像(或其他安全挑战)对用户的权利?我会批准,这会让网络钓鱼者的工作变得更加艰难,但这对我来说似乎并不值得。这种行为的理由是什么?
答案 0 :(得分:1)
如果单个服务器不断访问他们的站点请求不同用户ID的图像(特别是用户之前没有登录过的用户),那么它将非常可疑,因此Phisher难以隐藏。