Site anahtarı - SiteKey

Site anahtarı bir tür sağlayan web tabanlı bir güvenlik sistemidir. Karşılıklı kimlik doğrulama arasında son kullanıcılar ve web siteleri. Birincil amacı caydırmaktır e-dolandırıcılık.

SiteKey, 2006 yılında birkaç büyük finans kurumu tarafından dağıtıldı. Amerika Bankası ve Öncü Grup. Bank of America ve The Vanguard Group, 2015 yılında kullanımı durdurdu.[1][2]

Ürünün sahibi RSA Veri Güvenliği 2006 yılında orijinal üreticisi Passmark Security'yi satın aldı.

Nasıl çalışır

SiteKey aşağıdakileri kullanır meydan okuma-yanıt teknik:[3][4][5]

  1. Kullanıcı tanımlar (değil kullanıcı adını girerek (ancak şifresini girerek) kendini siteye doğrular. Kullanıcı adı geçerliyse site devam eder.
  2. Kullanıcının tarayıcısı bir istemci tarafı durum belirteci (ör. Web tanımlama bilgisi veya a Flash çerez ) önceki bir ziyaretten, kullanıcıdan bir veya daha fazla "güvenlik SORULARI "siteye kaydolurken belirtilen kullanıcı," En son hangi okula gittiniz? "
  3. Site, daha önce yapılandırdığı bir resmi ve / veya eşlik eden ifadeyi görüntüleyerek kullanıcının kimliğini doğrular. Kullanıcı bunları kendisinin olarak tanımazsa, sitenin bir kimlik avı sitesi ve hemen terk et. Onları tanırsa, siteyi gerçek kabul edebilir ve devam edebilir.
  4. Kullanıcı, şifresini girerek siteye kendi kimliğini doğrular. Söz konusu kullanıcı adı için şifre geçerli değilse, tüm süreç yeniden başlar. Geçerliyse, kullanıcının kimliği doğrulanmış ve oturum açmış kabul edilir.

Kullanıcı meşru etki alanından farklı bir Web sitesi etki alanına sahip bir kimlik avı sitesindeyse, kullanıcının tarayıcısı (2) adımında durum belirtecini göndermeyi reddeder; kimlik avı sitesi sahibinin ya doğru güvenlik görüntüsünü görüntülemeyi atlaması ya da yasal etki alanından elde edilen güvenlik sorularını kullanıcıya sorması ve yanıtları iletmesi gerekir. Teorik olarak bu, kullanıcının şüphelenmesine neden olabilir, çünkü kullanıcı, meşru alan adını son zamanlarda tarayıcısından kullanmış olsa bile güvenlik soruları için yeniden sorulmasına şaşırabilir. Bununla birlikte, uygulamada, kullanıcıların genellikle bu tür anormallikleri fark edemediğine dair kanıtlar vardır.[5]

Zayıf yönler

Bir Harvard çalışması[6][7] SiteKey'i% 97 etkisiz buldu. Uygulamada, gerçek kişiler, sonuçlarına göre Site Anahtarının eksik olduğunu fark etmez veya umursamaz.

Ayrıca, kullanıcıların daha fazla kimlik doğrulama bilgisini takip etmesini gerektirir. İle ilişkili biri N SiteKey kullanan farklı web siteleri hatırlamalıdır N farklı 4-demetler bilginin: (site, kullanıcı adı, ifade, şifre).

Sonlandırma

Mayıs 2015'te Bank of America, SiteKey'in yıl sonuna kadar tüm kullanıcılar için kullanımdan kaldırılacağını ve kullanıcıların tek adımda kullanıcı adı ve şifreleri ile oturum açmasına izin vereceğini duyurdu.[1] Temmuz 2015'te Vanguard, web sitesi için SiteKey kullanımını da durdurdu.[2]

Notlar

  1. ^ a b "Bank of America'da daha fazla güvenlik aracı ve daha basit oturum açma". Arşivlenen orijinal 2015-05-10 tarihinde. Alındı 2015-05-10.
  2. ^ a b "Vanguard.com'da oturum açma sürecini kolaylaştırdık". Arşivlenen orijinal 2016-03-04 tarihinde.
  3. ^ https://www.bankofamerica.com/privacy/faq/sitekey-faq.go
  4. ^ Jim Youll (18 Temmuz 2006). "Bank of America'da SiteKey Güvenliğindeki Dolandırıcılık Açıkları" (PDF). Arşivlenen orijinal (PDF) 2016-12-31 tarihinde.
  5. ^ a b Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4 Şubat 2007). "İmparatorun Yeni Güvenlik Göstergeleri" (PDF).
  6. ^ Joel Hruska (20 Haziran 2007). "Güvenlik çalışması, gelişmiş kimlik doğrulama iddialarında boşluklar yaratıyor". Ars Technica.
  7. ^ Schecter; Dhamija; Ozment; Fischer (2007-05-20). "İmparatorun Yeni Güvenlik Göstergeleri: Web sitesi kimlik doğrulamasının bir değerlendirmesi ve rol oynamanın kullanılabilirlik çalışmaları üzerindeki etkisi" (PDF). Arşivlenen orijinal (PDF) 2007-09-27 tarihinde. Alındı 2020-04-23. Alıntı dergisi gerektirir | günlük = (Yardım)

Dış bağlantılar