|
|
6 回复 | 直到 15 年前
|
1
1
|
|
2
8
网络钓鱼通常通过将消费者引导到网站的一个刮版来起作用。一种越来越普遍的方法是动态网站,在输入用户名和密码之前,银行网站会显示一些消费者选择的图片或短语,我称之为 计数器密码 . 本质上,消费者不仅必须出示有效密码,银行也必须出示。相互认证。 钓鱼网站在没有查询银行的情况下无法显示正确的柜台密码,这给了银行一个机会来检测、混淆和起诉代理。 这可以通过使用带外通信信道来增强。如果发出请求的IP地址(可能是代理,可能通过洋葱路由)不是消费者以前登录过的地址,请向消费者发送一条短信,短信中包含他们必须另外使用的一次性代码,然后才能显示计数器密码并启用登录。
|
|
|
3
3
在国际海事组织看来,银行能做的最好的事情就是教育它的用户何时以及如何与他们沟通。许多用户不知道什么是网络钓鱼,因此向他们展示例子,提高他们对欺诈的认识,比任何技术解决方案都更有帮助(尽管技术方面也应该积极地进行)。如果用户意识到可能发生网络钓鱼,那么就不太可能成为它的牺牲品。 |
|
|
4
2
使用EV SSL证书,然后在登录页面上放置一条消息,告诉用户在浏览器中查找EV签名。
|
|
|
5
1
从银行的角度来看,减轻这种影响的最简单方法是教育客户创建账户,就像(a)银行所做的那样 有客户的电子邮件地址,所以 不能 给他们发邮件,(b)给每一个现有客户发一封信,解释同样的问题。 对于客户来说,这样做的好处是他们知道,每当他们收到一封声称来自银行的邮件时,它就不可能是真的。 |
|
|
6
1
http://www.bankinfosecurity.com/articles.php?art_id=115&pg=1 我写了一篇关于相互https认证的文档教程: http://www.howtoforge.com/prevent_phishing_with_mutual_authentication . EV证书没有什么附加价值,原因与标准ssl没有什么价值一样:没有人知道如何验证证书,UI也不可信。使用图像是没有价值的,会给用户带来非常烦人的体验。 虽然短信息比静态密码好,但你还是依赖于手机运营商的安全性。然而,由于他们有如此多的用户,而且提高系统的安全性意味着更多的帮助热线电话,因此激励措施并不一致。另外,请参考最新的snafu与iPad电子邮件地址,即使是基本的安全原则没有遵循。
|
推荐文章