今天互联网城的谈话是SNAFU,导致数十名Facebook用户被谷歌搜索引导到ReadWriteWeb关于Facebook-AOL交易的文章。 comments tread中发生的事情很快就会成为互联网传奇的一部分。
然而,欢闹的背后是一个可怕的事实,这可能是用户浏览所有网站的方式,包括他们的银行和其他更重要的网站。快速搜索“我的银行网站登录”并快速单击第一个结果。一旦他们在那里,用户愿意提交他们的凭证,即使该网站看起来不像他们试图达到的网站。 (这可以通过用户的评论通过facebook-connect连接到他们的Facebook账户来证明)
防止这种情况几乎不受我们的控制,并且对用户进行互联网浏览的基础教育可能同样不可能。那么,在尝试登录之前,我们如何确保用户知道他们在正确的网站上?像Bank of America's SiteKey这样的东西是否足够,或者是另一种将责任转移回用户身上的警察?
答案 0 :(得分:2)
互联网和网络浏览器过去常常有一些很酷的功能,可能会有一些适用性。
其中一个叫做“域名”。而是在工具栏的右侧站点上输入网站名称,左侧有另一个较大的文本字段,您可以在其中输入该字段。这个神秘的“地址”字段不是搜索运行在大型Magic 8-Balls农场的专有Google数据库,而是咨询了一个权威的“域名”注册表,并且每次都会引导您访问正确的网站。可悲的是,它有时需要您输入 8 额外的字符!对于大多数用户来说,这种负担太大了,这个繁琐的功能已被抛弃。
您曾经在浏览器中看到的另一件事是“书签”。词源学家仍在试图确定术语“书签”的起源。他们怀疑这与纸上有趣有关的曲线有关。无论如何,这些书签允许用户创建一个按钮,直接将它们带到感兴趣的网站。当然,创建书签是一个单调乏味,令人生畏的过程,有时需要多达两个菜单点击 - 或者更糟糕的是,使用Ctrl键!
啊,古人的奇迹。答案 1 :(得分:1)
当我设置我的在线银行帐户时,它要求我从一系列图片中进行选择。我选择的图像现在每次登录时都会显示给我。这让我确信我在正确的网站上。
编辑:我刚刚阅读了有关BoA SiteKey的链接,这显然是一回事(它的名字听起来像挑战 - 响应加密狗)
我认为最好的答案是硬件设备,它需要来自银行和用户的代码并对两者进行身份验证。但是,任何这些事情都假设人们实际上正在考虑这个问题,当然他们没有。这是在网上银行普及之前发生的事情 - 我有一个朋友,她的钱包在90年代被盗了,而且她打电话给她假装是她的银行并说服她透露她的密码......
答案 2 :(得分:1)
该网站可以通过显示一些个人信息来“个性化”自己, 用户可以在每个页面上轻松识别。 有很多方法可以实现它。显而易见的一个: 首次访问时,该网站要求用户上传一些头像, 并将用户的ID添加到cookie中。之后,每次用户浏览 该网站显示了头像。
答案 3 :(得分:0)
当用户第一次访问该网站并登录时,他可以分享一些个人信息(甚至是非常微不足道的信息),这些信息会阻碍网站无法知道 - 高中吉祥物,第一条街道等等。
如果网站真实性存在任何问题,该网站可以将此信息共享给用户。
喜欢电视节目/电影与邪恶的双胞胎。这位优秀的双胞胎总是通过分享一个秘密来赢得信任,这个秘密只有那个试图找出好双胞胎才会知道的人才会知道。
答案 4 :(得分:0)
您无法阻止网络钓鱼本身,但您可以采取几个步骤来解决问题。
1)如果你有类似网站密钥或登录密封的东西,请确保这些不能在恶意网站上出现。只是javascript framebusting可能还不够,因为IE有安全性=“受限制”。
2)对于如何请求用户凭据保持一致 - 通过SSL提供登录表单(而不仅仅是通过SSL回复)。不要求在多个地方或网站登录。鼓励想要使用您网站上存储的用户数据的第三方使用OAuth(而不是使用您的用户密码)。
3)您不应该通过电子邮件询问信息(有或没有链接)。
4)有一个安全页面,您可以在其中讨论这些问题。
5)发送有关已注册电话,电子邮件等的更改通知
除此之外,还要监控用户帐户活动 - 例如更改联系信息,安全Q& A,访问等(注意时间,IP和有几种微妙的技术)。