Фінансові новини
- |
- 17.05.24
- |
- 08:31
- |
- RSS
- |
- мапа сайту
Авторизация
Изображение закрытого или разомкнутого замка, обозначающее наличие или отсутствие шифрованного (HTTPS) соединения, не защищает от фишинга
13:35 17.04.2007 |
Хотя сама система работает нормально, отображая замок в соответствующем состоянии, пользователи просто не обращают на него внимания, сообщил DarkReading.com.
Исследователи Гарвардского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий.
Во - первых, исследователи "разомкнули" замок, что означало нешифрованное соединение, и отобразили в URL http вместо https. Несмотря на это, 100% участников эксперимента продолжили вход в систему.
Второй тест заключался в удалении аутентификационного изображения, так называемого "ключа сайта" (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа.
Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов - закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй - 43% - не стал вводить пароль для входа.
Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов.
Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.