Как вы можете убедиться, что пользователь знает, что они на вашем сайте?

Question

Сегодняшний разговор об интернет-городке - это SNAFU, благодаря которому десятки пользователей Facebook были введены поиском Google в статью на ReadWriteWeb о сделке Facebook-AOL. То, что последовало в комментариях , быстро превращается в легенду Интернета.

Однако за веселостью стоит страшный факт, что это может быть то, как пользователи просматривают все сайты, включая их банковские и другие более важные сайты. Быстрый поиск «логин на сайте моего банка» и быстрый клик по первому результату. Как только они окажутся там, пользователь готов предоставить свои учетные данные, даже если сайт не похож на сайт, к которому он пытался добраться. (Об этом свидетельствует тот факт, что комментарии пользователей подключены к их учетным записям Facebook через facebook-connect)

Предотвращение этого сценария в значительной степени находится вне нашего контроля, и обучение наших пользователей основам интернет-навигации может быть столь же невозможным. Так как же тогда мы можем убедиться, что пользователи знают, что они находятся на правильном веб-сайте, прежде чем пытаться войти? Достаточно ли что-то вроде SiteKey от Bank of America, или это еще один отговор, который переносит ответственность на пользователя?

Answer 1

Интернет и веб-браузеры имели пару интересных функций, которые могли бы действительно иметь некоторую применимость.

Одним из них было то, что называлось «доменные имена». Вместо того, чтобы вводить имя веб-сайта в правой части панели инструментов, слева было другое, более крупное текстовое поле, в которое вы могли бы ввести его. Вместо того, чтобы искать в собственной базе данных Google, работающей на огромных фермах Magic 8-Balls, это загадочное поле «адрес» использовало авторитетный реестр «доменных имен» и каждый раз приводило вас к нужному сайту. К сожалению, иногда требовалось ввести до 8 дополнительных символов! Это бремя было слишком большим для большинства пользователей, и эта громоздкая функция была заброшена.

Еще одна вещь, которую вы видели в браузерах, была так называемая «закладка». Этимологи все еще пытаются определить, откуда возник термин «закладка». Они подозревают, что это как-то связано с бумагой с забавными загогулинами. В любом случае, эти закладки позволили пользователям создать кнопку, которая бы перенаправила их прямо на интересующий веб-сайт. Конечно, создание закладки было утомительным, пугающим процессом, иногда требовавшим всего два щелчка меню - или, что еще хуже, использование клавиши Ctrl!

Ах, чудеса древних.

Answer 2

Сайт может «персонализировать» себя, показывая некоторую личную информацию, легко узнаваемый пользователем, на каждой странице. Есть много способов реализовать это. Очевидный: при первом посещении сайт требует от пользователя загрузки аватара, и добавляет идентификатор пользователя в куки. После этого каждый раз, когда пользователь просматривает на сайте, аватарка показывается.

Answer 3

Когда я настроил свой онлайн-счет в банке, он попросил меня выбрать один из множества изображений. Изображение, которое я выбрал, теперь отображается при каждом входе в систему. Это заверяет меня, что я на правильном веб-сайте.

РЕДАКТИРОВАТЬ: я только что прочитал ссылку о BoA SiteKey, это, очевидно, то же самое (это прозвучало из названия, как ключ ответа на вызов)

Полагаю, лучшим ответом было бы аппаратное устройство, для которого требовался код от банка и пользователя и аутентифицированные оба. Но любая из этих вещей предполагает, что люди на самом деле думают о проблеме, чего, конечно же, нет. Это происходило до того, как интернет-банкинг стал обычным делом - у меня была подруга, у которой украли кошелек в 90-х годах, и она позвонила ей, притворяясь ее банком, и убедила ее раскрыть свой PIN-код ...

Answer 4

Вы не можете предотвратить фишинг как таковой, но вы можете предпринять несколько шагов, каждый из которых немного облегчает проблему.

1) Если у вас есть что-то вроде ключа сайта или печати входа, убедитесь, что они не могут быть размещены на вредоносном веб-сайте. Просто javascript framebusting может быть недостаточно, так как IE имеет security = "limited".

2) Будьте очень последовательны в отношении того, как вы запрашиваете учетные данные пользователя - используйте форму входа через SSL (а не просто постбэк через SSL). Не спрашивайте логин в нескольких местах или на сайтах. Поощряйте третьи стороны, которые хотят работать с пользовательскими данными, хранящимися на вашем сайте, использовать OAuth (вместо взятия пароля вашего пользователя).

3) Вы никогда не должны запрашивать информацию по электронной почте (со ссылкой или без нее).

4) Имейте страницу безопасности, где вы говорите об этих проблемах.

5) Отправлять уведомления об изменениях в зарегистрированный телефон, электронную почту и т. Д.

Помимо вышесказанного, отслеживайте активность учетной записи пользователя - например, изменения контактной информации, вопросы и ответы по безопасности, доступ и т. Д. (Отмечая время, ip, и есть несколько тонких приемов).

Answer 5

Когда пользователь впервые заходит на сайт и входит в систему, он может поделиться некоторой личной информацией (даже чем-то очень тривиальным), которую сайты-мошенники не могут знать - талисман старшей школы, первая улица и т.д.

Если возникнет вопрос о подлинности сайта, сайт может передать эту информацию пользователю.

Как в сериалах / фильмах со злым близнецом. Хороший близнец всегда завоевывает доверие, делясь секретом, который будет знать только тот, кто пытается выяснить, кто такой хороший близнец.