Tls

mybank.comへの接続が安全であることを確認する方法を、技術に精通していない人に説明してください。



Explain Non Tech Savvy Person How Check That Your Connection Mybank



解決:

セキュリティインジケータが失敗する理由とフィッシング

経済的に実行可能な行動を取ることはできません。言い換えれば、フィッシング攻撃から身を守るのは手間がかかりすぎます。米国経済とインフォメーションワーカーの例については、「非常に長く、外部性に感謝しない」を参照してください。

URLの正しさのチェックはエラーが発生しやすく、HTTPSパッシブセキュリティインジケータは大きな冗談です。彼らは見過ごされ、何年も無意味であり(キーパッドが青、緑、灰色の場合はどういう意味ですか!?)、より目立つ/アクティブになると、人々はそれらを見ることに慣れ、攻撃は単に購入することができます名前がチェックアウトされるようにするための不正なURLの証明書。



この問題の解決策は、人間の時間を無駄にし、間違いを犯さないように人間に頼るのではなく、建築的なものでなければなりません。 Webブラウザーに、銀行のURLや信頼できる支払い/転送Webサイトを検証するための、一元化された信頼できるリポジトリがないのはなぜですか。そのため、このようなサイトで独自のセキュリティインジケーターを使用できます。

解決策:ユーザーにインジケーターの制限に対処させるのではなく、安全な対話に依存させる

私は人々に一度ウェブサイトにアクセスし、URLが一度正しいことを確認し(あなたは彼らを助けることができます)、そしてそれを彼らのお気に入りに保存するように言います。そして、お気に入りボタンだけを使用して、 知る 彼らは正しいウェブサイトにあります。リンクをクリックしたり、ウェブサイトを検索したりすると、どこにたどり着くかわからないが、お気に入りボタンを押すと常に正しい場所に移動することを(詳細なしで)伝えます。どのように?関係ありません。



この段階で、ユーザーは正しいURLにアクセスすることが保証されます。アクティブなMITM攻撃が発生している場合、それらは 意思 恐ろしい証明書の警告が表示されます。これは通常、銀行のWebサイトにはありません。警告の慣れは非常に現実的なものであり、以前に信頼されていた銀行のWebサイトのコンテキストでユーザーが注意を払うかどうかを判断するための数値が欠落しています。この警告を改善する(たとえば、銀行のサイトを怖がらせる)には、銀行のWebサイトとは何かについての知識も必要になります。


2018年9月更新:

これは良い選択肢かもしれないと前に述べましたが、世界は変化し、EVの使用は、以下に述べる欠点を考慮しても、もはや特に信頼できる指標ではありません。 Troy Huntからのこのような記事で完全な問題を説明していますが、要するに、ブラウザーはEV証明書を特に特別なものとして扱っておらず、EVステータスのインジケーターを非表示または削減しています。



たとえば、前に示した最初のサイトを例にとると、Chrome 69、Edge、Firefox 62、Internet Explorer 10でそれぞれ次のように表示されます。モバイルのSafariは緑色のパドロックを示し、「Barclays PLC」は、モバイルのChromeは緑のパドロック、緑の「https」、黒の残りのURL。

現在のブラウザでのEVディスプレイ(2018年9月)

つまり、サイトでEV証明書を使用していても、技術者以外の人に簡単に伝えることができる指標は1つもありません。それは常にブラウザに翻弄され、もはや特別なものとして扱われることはありません。

だから、代替手段は何ですか?以下のURLは、銀行サイトのさまざまなサブドメインからのものであるため、銀行名の検索が難しくなり、完全なURLが表示されない一部のモバイルデバイスでは機能しません。管理しているドメインで無料のSSL証明書を利用できるため、南京錠の記号は簡単に回避できます。現在、ブラウザには「https://」が表示されていますが、「http://」は表示されていませんが、残りのケースに依存すると、緑色のアドレスバーに依存するのとほとんど同じ問題が発生します。

そのため、毎回アドレスバーに銀行の住所を入力する必要があり、タイプミスがないことを絶対に確認する必要があります。これも信頼できる方法ではありません。検索は信頼できません。ほとんどの検索プロバイダーは、「オンラインバンキングログイン」などの用語で広告内の偽のリンクを取り除くのにかなり優れていますが、失われたリンクは1つだけです。メインバンクサイトからのリンクをたどると、検証の問題が1レベル上に移動します。

注意が必要だと思います。作成時に注意深くチェックされたブックマークを使用して、単一のデバイスを使用して銀行サイトにアクセスし、他の人にそのデバイスへのアクセスを許可しないため、変更できません。一部の人にとっては理にかなっているかもしれませんが、デバイスを家族と共有したり、同僚がアクセスしたりする平均的なユーザーにとっては、負担が大きすぎることがわかりました。

オリジナル02/2016:

オンラインバンキングシステムのログイン画面で、アドレスバーに銀行の名前が緑色で表示されていることを確認することを提案しました。しかし、それから私は、私が知っている地元の銀行のいずれかがそれを適切に行ったかどうか疑問に思い始めました。

英国の銀行のURLバー

思っていたほど勇気づけられません。これらの9つのかなり大きな銀行の場合、6つはEV証明書バーに銀行の名前を提供します。 2は親グループの名前を提供し(これは必ずしも明白ではないかもしれません)、EV証明書さえ持っていません。

EV証明書は、適切に使用されていれば、これを簡単に行えるように設計されています。簡単に偽造することはできず、ページ領域の外にあるため、悪意のある攻撃者が挿入することはできません。しかし、銀行はそれをうまく利用していないようです。


「ブラウザがHTTPSを使用していて、適切なサイトにいることを確認する方法を一般ユーザーに説明する方法を尋ねています...」

httpsでロックと「s」を探し、//の後のURLが正しいことを確認することについて、他の人がここで言ったことに同意します。それが私がクライアントにやるように思い出させることです。すべての金融機関は最低限これらのものを持っています

EV証明書の「グリーンネーム」のような他のアプローチは役に立ちますが、標準のSSL証明書よりもはるかに高価であり、実装(あなたが誰であるかを証明するため)に多くの事務処理が必要なため、すべての銀行がそれらを使用するわけではありません。

私が議論に追加したい2つのことは多分焦点を当てることです どうやって 人々は銀行のサイトにアクセスします。

ブックマークを介して(常に同じコンピューターとブラウザーを使用している限り)、銀行のモバイルアプリを介して、または銀行の(できれば短く、正しく綴られている)URLを毎回入力して、そこに到達している場合は、そうすれば、フィッシングやMITM攻撃に遭遇する可能性がはるかに低くなります。

ただし、銀行からのものである(常に疑わしい)、または検索エンジンの結果から外れていると主張する電子メール内のリンクに応答する場合は、特に注意するか、これらの手段を完全に回避する必要があります。

私がクライアントに対して行うもう1つのことは、クライアントが不注意になった場合の結果について警告することです...クライアントが行っていない取引を発見したり、アカウントからお金がなくなったり、回復が不可能な可能性のある国に送金されたりするなどです(ロシアまたは中国として)。基本的に、少しの恐怖/妄想は、人々を警戒し、彼らのアカウントを安全に保つのに大いに役立つ可能性があります。お役に立てれば!