Domanda:
Perché i siti Web e i dispositivi non offrono accessi falsi per gli hacker?
Cromulent
2018-06-01 17:49:54 UTC
view on stackexchange narkive permalink

Ci stavo pensando questa mattina presto e mi chiedevo perché i siti web e i dispositivi non offrono accessi falsi per gli hacker? Ciò che intendo con questo è che se un hacker scopre alcuni dei tuoi dettagli e cerca di accedere a un sito Web (ad esempio), il sito Web mostrerà che hai effettuato l'accesso con successo ma mostrerà dati fittizi completamente falsi.

In questo modo l'hacker non saprà se i dettagli di accesso sono corretti o meno. Proteggerà anche le persone in una situazione di sicurezza. Ad esempio, immagina che un criminale abbia rubato il telefono a qualcuno e si renda conto che non può accedervi. Quindi punta una pistola contro il proprietario che poi digita in parte i loro dettagli corretti ma alcuni di essi in modo errato. Il dispositivo si sblocca in modalità falsa e il criminale pensa di avere accesso e decide di non sparare alla persona perché ha rispettato i suoi desideri. Ma il criminale non sa mai che quello che vede è solo un falso login.

Qualcuno ha implementato qualcosa del genere? Mi sembra una buona idea.

1) Perché i proprietari di dispositivi / siti devono fare qualcosa.Perché gli utenti non possono configurarlo da soli?2) Se è noto che il dispositivo / sito fa questo, gli aggressori non proveranno a verificare di avere un vero accesso?3) Il tuo approccio non sopravvive [principio di Kerchoff] (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle).
Se questo non rientri nella "sicurezza dall'oscurità", penso che darebbe ai proprietari un falso senso di sicurezza in tutta onestà.
Questo è schifoso per gli hacker umani, ma può funzionare abbastanza bene per i bot non sofisticati.Un sito che gestisco utilizza falsi moduli di invio POST per catturare spambot e funziona piuttosto bene.
Se è un sistema noto, il criminale sorride, carica la pistola e continua con: "Bene, ora quello vero" - "Lo è!"- "Lier!"* BANG * E sfortunatamente, lo era.Non vedo quale sicurezza dia questo.
Come fa il sito web a sapere che l'utente è un hacker e non l'utente effettivo?Si riferisce a casi in cui un utente (non cinese) accede dalla Cina o qualcosa del genere?
E se digito erroneamente la password?Non voglio essere registrato in modalità falsa.Voglio sapere di aver inserito la password in modo errato.
Con che frequenza i criminali chiedono alle vittime di accedere ai propri account con una pistola puntata?Questo suona come un caso limite estremo che causerebbe solo una confusione inutile nel caso generale.È molto più probabile che digiti erroneamente la mia password (succede più volte al giorno) piuttosto che rimanga bloccato (non è ancora successo).
Questo è un [vaso di miele] (https://en.wikipedia.org/wiki/Honeypot_ (informatica))
@SethR: in realtà ne ho sentito parlare nelle notizie un paio di volte, quindi è successo.Non credo sia per furto di documenti d'identità, tanto più che il telefono può essere ripristinato e venduto.
@Tom.Bowen89 il modo per aggirare questa preoccupazione sarebbe un'immagine di sicurezza: un'icona viene visualizzata dopo il login e solo l'utente "reale" sa se è quella giusta.Se seleziono l'immagine di un gatto come immagine di sicurezza e accedo e vedo una farfalla, so di aver digitato la password sbagliata.(Non cercare di argomentare a favore dell'approccio del PO in generale, ma solo affrontare la tua specifica preoccupazione.)
Questo esiste, [MobileSitter by Frauenhofer Institute] (https://www.sit.fraunhofer.de/en/imobilesitter/?cHash=c055727af39b2fb3d6e6e15111b4e2ac&wmc=SM_TW) (non affiliato) è un esempio che conosco.Risolvono il problema esattamente nel modo in cui ha commentato @dwizum, fornendo un indizio visivo (o semplicemente memorizzi una password nel gestore delle password e la controlli).
Come so, questo è implementato in alcune serrature.Esistono due codici: per uso regolare e per l'apertura forzata, che aprirà anche la porta ma avviserà le guardie / polizia.
@SethWhite È semplice, devi solo controllare se il bit del male è impostato https://tools.ietf.org/html/rfc3514
@SethR Chiaramente non sei abbastanza importante: P
In realtà, questo è stato implementato.ESET antifurto ha creato un secondo account Windows sul mio computer.È sbloccato e se un hacker abbocca e fa clic su di esso, ESET ne scatterà una foto, mi avviserà e inizierà a monitorare il mio computer.
Correlati: [È possibile rendere inefficaci gli attacchi di forza bruta fornendo risposte false positive ai tentativi di accesso falliti?] (Https://security.stackexchange.com/questions/129898/is-it-possible-make-brute-forza-attacchi-inefficaci-dando-falsi positivi-ans)
Undici risposte:
Steffen Ullrich
2018-06-01 17:58:39 UTC
view on stackexchange narkive permalink

In questo modo l'hacker non saprà se i dettagli di accesso sono corretti o meno.

Se le informazioni presentate dopo l'accesso non hanno alcuna relazione con la persona che ha login dovrebbe essere per, quindi la maggior parte degli hacker riconoscerà rapidamente che probabilmente il login non è quello reale.

Ma, per mostrare informazioni che sembrano adatte all'utente, potrebbe essere necessario uno sforzo considerevole. Deve anche essere creato appositamente per ogni utente e mostrare alcune informazioni vere sull'utente in modo che non sembri falso ma non troppo, quindi non trapelano informazioni importanti.

Non puoi aspettarti che il tuo provider lo faccia per te, ma potresti provare a farlo da solo in molti casi, ad esempio aggiungi un altro account e-mail, un altro account Facebook, ecc.

In realtà, vedo come potrebbe essere impostato.Non hai un login falso, ma piuttosto un login reale ma limitato.App e dati sarebbero aperti o limitati, se tu fossi nel login coercizione vedresti solo quelle cose non contrassegnate come limitate.
@Loren è un'idea chiara.Il login coercizione potrebbe includere dati limitati (forse alcuni vecchi documenti) e app intenzionalmente danneggiate.Ad esempio, il login falso potrebbe avere un'app di banking online che sembra reale, ma che si blocca sempre.I dati mobili potrebbero essere limitati ("Mi spiace, hai utilizzato tutti i tuoi dati per questo mese") e le app potrebbero lamentarsi di come non funzioneranno finché non saranno in grado di connettersi a Internet.
@RobertColumbia La tattica sarebbe nota, non puoi usare cose del genere.Ma hai l'app di cottura nell'elenco limitato: con il codice di coercizione semplicemente non lo vedi.Finché usi le app per le cose sensibili, anche qualcuno che sa come funziona il sistema non può dire se è il codice di coercizione o meno se non facendo il rooting del telefono.Se vuoi renderlo ancora più sicuro, ci sono due codici di coercizione: se viene utilizzato il secondo, l'intero set di dati sensibili viene cancellato.(Usa il primo sull'ufficiale snoopy, il secondo se arrestato.)
Non è così difficile da ottenere: ** chiedi agli utenti ** di farlo da soli.Ad esempio, quando crei un account Facebook, FB può chiederti di creare il tuo "profilo fittizio" nel caso in cui venissi compromesso.Tuttavia penso che gli hacker sapranno che è falso e, poiché è una caratteristica ben nota a tutti i suoi utenti, non avrà alcun effetto.
Anche quando viene concesso l'accesso a dati ovviamente falsi, tali dati devono comunque essere elaborati per determinare che si tratta di falsi, rendendo necessario più tempo all'hacker per ottenere l'accesso ai dati reali.
Questo sarebbe terribilmente fonte di confusione per gli utenti.Faresti meglio a conoscere il tuo pubblico.
TheWolf
2018-06-01 17:58:55 UTC
view on stackexchange narkive permalink

Il concetto che stai descrivendo si chiama Negazione plausibile e i metodi per fornirlo sono stati effettivamente implementati in alcuni software, tra cui VeraCrypt esempio.

Un problema con l'implementazione nei siti web, come suggerisci, è che è molto difficile per lo sviluppatore del sito trovare dati falsi che siano abbastanza realistici da ingannare un aggressore senza rivelare alcun dato dati sull'utente. In software di crittografia come VeraCrypt, tale compito viene trasferito all'utente, che ovviamente si trova in una posizione molto migliore per farlo.

Non credo che sia questa la negabilità plausibile.Honeypot! = Negabilità plausibile.
@forest: La domanda è un po 'confusa, perché descrive un honeypot, ma il caso d'uso (criminale che punta una pistola contro il proprietario del telefono) richiede una plausibile negazione.Questa risposta affronta il caso d'uso.
@BenVoigt non è ancora ciò che è plausibile negabilità
@Kevin: È esattamente il significato del termine "negabilità plausibile" nel contesto dei crittosistemi.Oltre a VeraCrypt menzionato in questa risposta, vedere anche LUKS, TrueCrypt.
@Kevin quando si tratta di sistemi crittografici, negabilità plausibile significa essenzialmente che quando è costretto a fornire l'accesso a contenuti protetti da una password / crittografia, una volta fornito tale accesso (fornire le credenziali del mio account, inserire password / chiave di decrittografia), posso affermare che io 'ho dato accesso al contenuto che ho protetto e l'avversario non può ragionevolmente provare il contrario.Posso plausibilmente negare che i dati reali siano ancora nascosti dietro un'altra chiave / credenziale e di aver effettivamente fornito l'accesso ai dati reali (oa tutti i dati disponibili).
@BenVoigt Ho imparato qualcosa di nuovo.Non sapevo che questo termine fosse usato in questo modo nella crittografia.
Siguza
2018-06-02 09:07:44 UTC
view on stackexchange narkive permalink

Perché gli hacker non attaccano i moduli di accesso

Il difetto è che si presume che gli hacker entrino negli account forzando brute credenziali contro i servizi remoti. Ma è comunque inutile.

Qualsiasi sito web con una sicurezza decente (anche quelli senza una sicurezza decente non si preoccuperebbero della tua idea) avrà un limite imposto al numero di tentativi di accesso falliti può essere effettuato in un determinato periodo di tempo per indirizzo IP, di solito qualcosa come 5 tentativi falliti ogni 6 ore. Se la sicurezza è un po 'più forte, gli account potrebbero anche richiedere un'azione da parte del proprietario dopo una serie di tentativi falliti e / o il proprietario potrebbe essere informato dei tentativi di accesso non riusciti o anche di tutti gli accessi da nuovi dispositivi.

Quindi sebbene gli attacchi di forza bruta possano essere fattibili contro dati semplici (come gli hash delle password esposti in una violazione), non sono neanche lontanamente fattibili contro qualsiasi servizio con anche un po 'di sicurezza.

Per gli aggressori, lo è quindi è molto più facile fare phishing, o meglio ancora impostare un vero servizio gratuito e lavorare sul presupposto del riutilizzo della password:

Sì!Questo è il motivo per cui, soprattutto per le altre tue password, indipendentemente dal tuo sistema di password, la tua password e-mail dovrebbe essere SEMPRE unica.
E intendo sempre Nemmeno con un account di un oscuro forum phpBB del 2001. O un'applicazione Android che chiede un nome utente / password anche se l'hai usata per 5 minuti.O un vecchio traker di torrent.Soprattutto con le app Android quando un'app può richiedere la posta di tutti gli account del dispositivo, quindi verificare con la password utilizzata.
Sam
2018-06-02 02:45:20 UTC
view on stackexchange narkive permalink

Non ho mai sentito parlare di alcun servizio o dispositivo che lo implementa.

Il caso in cui è presente un aggressore e ti costringe ad accedere è piuttosto improbabile. È più probabile che prendano il tuo iPhone da $ 1000 e scappino.

Tuttavia, è molto plausibile che ciò accada se l '"aggressore" è una guardia di sicurezza / agente della TSA ai controlli di sicurezza dell'aeroporto. Soprattutto se ti trovi in ​​un paese straniero. (Qualche anno fa c'era un discorso della Defcon FENOMENALE su questo argomento.)

Siti web

Probabilmente non avrebbe molto senso implementarlo su un sito web. Se tu (l'amministratore) sei certo che qualcuno che sta tentando di accedere a un account sia un hacker, bloccalo / blocca l'account. Problema risolto.

Se l'aggressore sta tentando di accedere a più account, probabilmente saprà che c'è qualcosa che non va se riesce ad accedere "con successo" a più account al primo o al secondo tentativo.

Telefoni

Anche se i telefoni non consentono accessi falsi (?), ma puoi impostarli per il blocco dopo che la password non è stata inserita correttamente n volte.

L'aggressore / agente TSA ti dice di sbloccare il telefono. Hai inserito intenzionalmente una password sbagliata al primo tentativo.

"Oh, oops, password sbagliata ..."

Inserisci di nuovo la password sbagliata al secondo tentativo.

"Scusa, mi sudano le mani quando sono nervoso ..."

Hai inserito una password sbagliata al 3 ° tentativo. Il telefono ora è bloccato per 30 minuti!

Questo ovviamente non funzionerà se stai recitando la password all'attaccante e questi la inseriscono nel telefono. E penso che la maggior parte dei blocchi del telefono duri solo 30 minuti (?), Durante i quali l'attaccante / agente della TSA farà del suo meglio per "convincerti" a ricordare la password in una stanza sul retro.

Computer portatili

Il tuo suggerimento sarebbe relativamente facile da implementare su un laptop ...

Crea 2 o più profili utente.

Il primo profilo che dai a te stesso (nome e cognome). Hai impostato una tua foto come immagine del profilo. Questo sarà il tuo account "falso". Imposta la password come qualcosa di semplice e facile da ricordare. Inserisci alcune "cose ​​personali" nell'account (musica, foto del tuo animale domestico, documenti di "lavoro", ecc.).

Il secondo account che dai un nome generico a un familiare ("maritino", "i bambini "," tesoro ", ecc.). Mantieni l'immagine del profilo predefinita. Imposta una password complessa. Questo sarà l'account con privilegi di amministratore sul laptop e l'account che utilizzerai per il tuo lavoro importante / riservato.

Ora immagina uno scenario in cui sei costretto ad accedere ...

Ti trovi in ​​un aeroporto dell'Oceania, in procinto di tornare a casa in Eurasia. I controlli di sicurezza dell'aeroporto ti fermano mentre attraversi il terminal.

Sicurezza: "Dacci il tuo passaporto e il tuo laptop!"

Gli dai il laptop e il passaporto. Accendono il laptop e provano ad accedere all'account che hai chiamato con il tuo nome. Quando vedono che hanno bisogno di una password, ti chiedono di dirgli la password.

Tu: "La password è opensea . Nessuno spazio."

L'aeroporto sicurezza inserisci la password e inserisci con successo il tuo account falso.

Dopo essersi guardati intorno per alcuni minuti e non aver trovato nulla che li interessi, si disconnettono e cercano di accedere al tuo account reale.

Sicurezza: "Di chi è questo account? Qual è la password?"

Tu: "Questo è l'account dei miei figli. La password è 123dogs ."

Inseriscono la password, ma non riescono ad accedere.

Sicurezza: "Quella password è sbagliata! Dicci la password corretta!"

Ti comporti sorpreso e chiedi loro per darti il ​​laptop in modo da poter tentare di accedere. Ti danno il laptop e tu inizi a digitare password fasulle.

Tu: "Quei maledetti ragazzi, ho detto loro di NON cambiare la password! Mi dispiace, avrebbero dovuto usare solo quell'account per i loro stupidi videogiochi! "

I controlli di sicurezza dell'aeroporto si consultano tra loro e poi ti lasciano andare per la tua strada. Tornerai in Eurasia in sicurezza senza che le informazioni riservate sul tuo laptop vengano compromesse.

La sicurezza aeroportuale in Oceania ti consentirà anche di volare in Eurasia?Pensavo che l'Oceania fosse sempre stata in guerra con l'Eurasia.
Le persone continuano a escogitare mezzi tecnici sempre più intelligenti per respingere una potenziale richiesta di sbloccare un telefono / laptop / supporto dati a un'ispezione di frontiera / aeroporto, ma non vedo come tutto ciò aiuti.Potresti anche rifiutarti completamente di fornire loro la tua password.Potresti finire in punizione o essere rifiutato l'ingresso, ma ciò potrebbe anche accadere mentre cerchi deliberatamente di bloccare il telefono e fare il tonto non ti aiuterà.La vera soluzione è evitare di portare qualsiasi materiale sensibile oltre il confine.
VeraCrypt è un esempio di un programma che lo implementa: puoi impostare una password alternativa che scoprirà solo una parte falsa dei dati
Nella vita reale, è tuttavia molto più probabile che invece di "lasciarti andare per la tua strada" confisceranno l'attrezzatura e la consegneranno ai loro analisti forensi, ti tratteneranno e ti metteranno permanentemente nella lista dei "possibili terroristi".[O peggio.] (Https://www.xkcd.com/538/)
Anche i portafogli di criptovaluta Ledger Nano supportano questa operazione, consentendoti di inserire un passcode per accedere al livello 1 del portafoglio, ma con la possibilità di specificare un livello aggiuntivo 2 in cui sono conservate le tue chiavi reali.In questo modo puoi conservare alcuni dollari nel livello 1 se qualcuno ti costringe a sbloccarlo.
@RobertColumbia "_Io pensavo che l'Oceania fosse sempre stata in guerra con l'Eurasia_" Lo hanno fatto.Fino a quando l'Oceania non farà pace con l'Eurasia, allora [_saranno sempre in guerra con l'Estasia_] (https://en.wikipedia.org/wiki/Nations_of_Nineteen_Eighty-Four#International_relations).
Dopo aver effettuato l'accesso al falso account del computer, come si giustifica che non disponga dei privilegi di amministratore / sudo?
@TripeHound vorresti un biscotto al cioccolato con il tuo Victory Gin speziato alla noce moscata?Le razioni di cioccolato sono state appena aumentate a 2 mg per persona all'anno!BTW, bel buco che hai lì nella parte posteriore della testa.
@Nemo tutti i tuoi privilegi di amministratore / sudo sono bloccati in un account "Amministratore" di cui dichiari felicemente la completa ignoranza."Mio marito l'ha creato anni fa, non ho mai conosciuto la password"
Relaxed
2018-06-02 14:20:20 UTC
view on stackexchange narkive permalink

Non è esattamente il contesto che avevi in ​​mente, ma in realtà ci sono sistemi che hanno implementato questa idea. Lavoravo in una struttura (alquanto sensibile) in cui ogni dipendente aveva due codici per disabilitare il sistema di allarme: quello normale e un codice di coercizione. Se si usasse il codice coercizione, il sistema verrebbe disabilitato per non metterti in pericolo ma un allarme silenzioso si attiverebbe al centro di sorveglianza. Sto leggendo su Wikipedia che questo è stato preso in considerazione anche per i bancomat delle banche negli Stati Uniti, ma alla fine è stato escluso.

Un altro concetto simile è " honeypot" . Alcuni di loro potrebbero infatti accettare qualsiasi credenziale o fornire dati fittizi quando vengono attaccati, per essere in grado di registrare ciò che fa un utente malintenzionato o comunque sfruttare la situazione (ad esempio catturare il carico utile di un worm).

perché non è più comune nei prodotti di consumo, nei servizi online, ecc. c'è semplicemente un compromesso tra i vantaggi (quanto è probabile un particolare attacco, se scoraggerebbe efficacemente i criminali o semplicemente li induce a modificare leggermente la loro tecnica) e costi (sistemi più complessi da sviluppare, mantenere e certificare, il che significa anche una maggiore superficie di attacco che potrebbe permettere a un aggressore con un punto di ingresso effettivo, larghezza di banda e costi operativi per fornire i dati fittizi a tutte le botnet che attaccano costantemente i servizi online, sforzo per creare credibilità dati fittizi per ingannare attacchi più sofisticati).

Sayan
2018-06-03 21:32:46 UTC
view on stackexchange narkive permalink

Questa si chiama "Deception Technology" nel mondo cibernetico in cui la soluzione inganna i cyber-nemici (aggressori) con esche chiavi in ​​mano (trappole) che "imitano" le tue vere risorse. Centinaia o migliaia di trappole possono essere distribuite con poco sforzo, creando un campo minato virtuale per attacchi informatici, avvisandoti immediatamente di qualsiasi attività dannosa con intelligenza utilizzabile. Le trappole porterebbero dettagli di accesso, dati fittizi, sistema fittizio, ecc. Per ingannare l'attaccante intimando come un sistema reale.

La tecnologia dell'inganno è una categoria emergente di difesa della sicurezza informatica. I prodotti della tecnologia di inganno possono rilevare, analizzare e difendersi dagli attacchi zero-day (dove il tipo / procedura di attacco non è noto prima) e dagli attacchi avanzati, spesso in tempo reale. Sono automatizzati, accurati e forniscono informazioni su attività dannose all'interno delle reti interne che potrebbero non essere viste da altri tipi di difesa informatica. La tecnologia di inganno consente un atteggiamento di sicurezza più proattivo cercando di ingannare gli aggressori, rilevarli e quindi sconfiggerli, consentendo all'azienda di tornare alle normali operazioni.

È possibile fare riferimento al collegamento di seguito per alcuni fornitori di soluzioni: https://www.firecompass.com/blog/top-5-emerging-deception-technology-vendors-at-rsa-conference-2017/

Interessante anche Turris di NIC.CZ https://www.turris.cz/en/
arp
2018-06-02 10:33:47 UTC
view on stackexchange narkive permalink

Questo è stato fatto in passato, piuttosto con successo, ma dipende molto da cosa sia il sistema.

A un certo punto non era raro che i siti Web con accesso a pagamento rilevassero automaticamente quando un account accedeva da troppi indirizzi IP o con altri modelli sospetti e reindirizzassero gli utenti a una versione del sito che era principalmente annunci e link di affiliazione ad altri siti. Se fatta bene la condivisione delle credenziali di accesso rubate potrebbe diventare un centro di guadagno.

Esistono anche siti web che indirizzano gli utenti a diverse versioni in base all'indirizzo IP o ad altri criteri; la versione più semplice di questo è la pubblicità mirata.

Per l'accesso alla shell è possibile indirizzare un login a una jail chroot che ha solo una piccola sezione di disco e binari appositamente predisposti, che potrebbero non essere necessariamente gli stessi del sistema generale.

jmoreno
2018-06-02 17:16:21 UTC
view on stackexchange narkive permalink

Prima di tutto, non definirei l'attaccante in questo scenario un hacker. Un hacker sta cercando di aggirare la sicurezza offerta dal sito Web, nel tuo scenario l'attaccante non si preoccupa di quanto siano sicuri i tuoi servizi, si preoccupa della facilità con cui l'utente viene intimidito e possibilmente di cosa fare con il corpo in seguito.

In secondo luogo, sono state apportate credenziali alternative che modificano il tuo accesso, ma se presenta più che una visione ristretta della verità, è molto lavoro e di utilità limitata.

Il motivo è di utilità limitata, perché i tuoi utenti lo sanno, devi presumere che anche qualsiasi aggressore lo sappia. Supponi di averlo fatto per una carta bancomat in modo che mostrasse un saldo inferiore a cento dollari per limitare la tua perdita. O l'attaccante chiede entrambe le cose (nel qual caso la vittima ha al massimo il 50% di possibilità di non perderne di più) o semplicemente include come parte delle sue richieste che ne produca di più - "se non ottengo almeno 200 sei morto ".

Non è del tutto inutile, ma è efficace solo contro un attaccante ignorante. Affidarsi al fatto che l'attaccante non sappia qualcosa è chiamato sicurezza attraverso l'oscurità, ovvero "ce l'hanno".

gabdev
2018-06-03 00:10:48 UTC
view on stackexchange narkive permalink

Per il web e un attacco remoto, come molte persone qui hanno affermato in precedenza, a parte la difficoltà di creare contenuti falsi per utenti, c'è il problema di: come fai a sapere che è un accesso compromesso?

Voglio dire, se presumi che ci sia una sorta di attività sospetta, come un attacco di forza bruta, puoi semplicemente bloccare l'accesso per quell'IP e forse per quell'account stesso per un po 'di tempo (finché il vero proprietario non convalida in qualche modo la sua identità)

Gli unici casi utili sono gli accessi forzati , questa è un'altra storia e un'idea carina. Ecco l'implementazione che immagino per un social network:

  1. L'utente si crea un account con dati fittizi e lo imposta come account fittizio.
  2. Quando è in corso un accesso forzato, come la tua fidanzata gelosa o il tuo fidanzato che ti estorce per accedere, inserisci la password fittizia e il gioco è fatto! hai effettuato l'accesso al tuo bellissimo account fittizio creato da te.

MA Non è nemmeno una soluzione perfetta. L'aggressore probabilmente ti riconoscerebbe e, se è il tuo ex pazzo per esempio, potrebbe semplicemente controllare il suo chatlog con te e saprà che hai appena effettuato l'accesso all'account fasullo.

Questo è particolarmente rilevante perché sarà una caratteristica ben nota al pubblico della piattaforma che sei, quindi chiunque ti costringa potrà controllare se sei o no.

Per banche o altri siti, è una buona idea.

Enerama Çevre Teknolojileri
2018-06-02 17:53:23 UTC
view on stackexchange narkive permalink

Il problema è che i tuoi utenti devono saperlo, quindi devi presumere che anche qualsiasi attaccante lo sappia.

aks
2018-06-04 20:22:26 UTC
view on stackexchange narkive permalink

Per me, questo suona come se stessi invitando l'aggressore a ballare con te.

"Ehi aggressore, vuoi hackerare il mio sito web? Bene, ecco un falso sito web di login per te!"

Certamente non vuoi invitare l'attaccante a ballare con te perché potrebbe trovarlo divertente e stimolante, il che gli darebbe ancora più motivazione per provare ad hackerare il tuo sito web.

Questa risposta è l'oro della commedia!


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...