1. Zuhause
  2. Frage und Antwort
  3. Wie können Sie sicherstellen, dass ein Benutzer weiß, dass er auf Ihrer Website ist?

Wie können Sie sicherstellen, dass ein Benutzer weiß, dass er auf Ihrer Website ist?

2010-02-12 6 views
8

Die Rede von der Internetstadt heute ist die SNAFU, die dazu führte, dass Dutzende Facebook-Nutzer von der Google-Suche zu einem Artikel in ReadWriteWeb über den Facebook-AOL-Deal geführt wurden. Was in der comments tread folgte, wird schnell zum Zeug der Internet-Legende.Wie können Sie sicherstellen, dass ein Benutzer weiß, dass er auf Ihrer Website ist?

Aber hinter der Heiterkeit ist eine beängstigende Tatsache, dass dies möglicherweise wie Benutzer zu allen Seiten, einschließlich ihrer Bankgeschäfte und andere wichtigere Websites navigieren. Eine schnelle Suche nach "my bank website login" und schnell auf das erste Ergebnis klicken. Sobald sie dort sind, ist der Benutzer bereit, seine Anmeldeinformationen zu übermitteln, obwohl die Website der Website, die sie zu erreichen versucht, nicht ähnelt. (Dies wird durch die Tatsache belegt, dass Benutzer Kommentare über Facebook-Connect mit ihren Facebook-Konten verbunden sind)

Verhindern dieses Szenario ist ziemlich außerhalb unserer Kontrolle und Aufklärung unserer Benutzer über die Grundlagen des Internet-Browsing möglicherweise genauso unmöglich . Wie können wir sicherstellen, dass die Benutzer wissen, dass sie sich auf der richtigen Website befinden, bevor sie sich anmelden? Ist etwas wie Bank of America's SiteKey ausreichend, oder ist das eine andere Aussperrung, die die Verantwortung zurück auf den Benutzer verschiebt?

Quelle

2010-02-12 Dónal Boyle

+0

"... oder ist das ein weiterer Cop-out, der die Verantwortung zurück auf den Benutzer überträgt?" Wie ist das eine Ausrede? Es ** ist ** die Verantwortung des Benutzers. Wenn sie ihre Anmeldeinformationen in eine beliebige Site eingeben möchten, können Sie als Eigentümer der legitimen Site sie nicht stoppen. – meagar

+0

meagar, egal wie technologisch unfähig sie sind, sie sind immer noch Ihre Kunden. Wenn Sie die Kommentare im ReadWriteWeb-Artikel lesen, werden Sie feststellen, dass die Frustration und Wut, die diese Benutzer ausdrücken, auf Facebook ausgerichtet ist, der keine Kontrolle über das hatte, was geschah! Nicht Facebook ist schuld, aber in den Augen des Benutzers ist der Schaden entstanden. Ich würde argumentieren, dass Sie zumindest versuchen sollten, die Verantwortung für alles zu übernehmen, was Ihrem Ansehen schaden könnte. –

+0

Mit eigenen Worten hatte Facebook keine Kontrolle über die Situation. Das war mein Punkt. Sie können nicht verhindern, dass Benutzer das Internet fälschlicherweise verwenden, wenn sie Ihre Website nicht erreichen. – meagar

Antwort

1

Als ich mein Online-Bankkonto eingerichtet habe, hat es mich gebeten, aus einer Auswahl von Bildern zu wählen. Das Bild, das ich gewählt habe, wird mir jetzt jedes Mal angezeigt, wenn ich mich anmelde. Dies versichert mir, dass ich auf der richtigen Website bin.

EDIT: Ich habe gerade gelesen den Link über die BoA SiteKey, das ist offenbar die gleiche Sache (es aus dem Namen wie ein Challenge-Response-Dongle klang)

Ich nehme an, die beste Antwort ein Hardware-Gerät wäre die benötigt einen Code von der Bank und dem Benutzer und authentifiziert beides. Aber jedes dieser Dinge setzt voraus, dass die Leute tatsächlich über das Problem nachdenken, was sie natürlich nicht tun. Dies geschah, bevor Internet-Banking üblich war - ich hatte eine Freundin, die ihre Brieftasche in den 90ern gestohlen hatte, und die Frau rief sie an, um ihre Bank zu sein und überredete sie, ihre PIN zu enthüllen ...

Quelle

2010-02-12 16:46:43

+0

Sie gehen davon aus, dass sich jemand, der sich auf der Website anmeldet, als cleverer Benutzer wie Sie selbst versteht, nicht als einer, der auf einen Link aus einem Suchergebnis klickt und versucht, sich anzumelden. Sie vergessen vielleicht, dass sie ein Image eingerichtet haben und gehen einfach mit dem Login, der ihnen angezeigt wird. – bdl

+0

aber Sie bekommen nur, wenn Sie eingeloggt sind, richtig? An diesem Punkt hat die Spoof-Site bereits Ihre Zugangsdaten (oder einige davon) – roryf

+0

natürlich, alles, was Sie dann tun können, ist, die Bank zu alarmieren und Ihre Zugangsdaten zu widerrufen. –

1

Die Seite könnte "personalisieren" Sie sich selbst, indem Sie einige persönliche Informationen anzeigen, leicht erkennbar für den Benutzer, auf jeder Seite. Es gibt viele Möglichkeiten, es zu implementieren. Das Offensichtliche: Beim ersten Besuch fordert die Seite den Benutzer auf, einige Avatare, , hochzuladen, und fügt den Cookies die ID des Benutzers hinzu. Danach wird jedes Mal, wenn der Benutzer die Site durchsucht, der Avatar angezeigt.

Quelle

2010-02-12 16:48:14 Moisei

0

Wenn der Benutzer zuerst die Website besucht und sich anmeldet, kann er einige persönliche Informationen teilen (auch etwas sehr trivial), dass Betrüger-Sites konnte nicht möglich Know - High-School-Maskottchen, erste Straße lebte, usw.

Wenn es jemals eine Frage der Site-Authentizität gibt, könnte die Site diese Informationen an den Benutzer zurückgeben.

Wie in TV-Shows/Filme mit dem bösen Zwilling. Der gute Zwilling gewinnt immer das Vertrauen, indem er ein Geheimnis teilt, dass nur die Person, die versucht herauszufinden, wer der gute Zwilling ist, würde wissen.

Quelle

2010-02-12 16:53:09

+4

Wenn Sie die Kommentare auf der verknüpften Website lesen, würden Sie feststellen, wie viel das von diesen Leuten verlangt. Wenn das Bild nicht gezeigt würde, würden sie nicht denken, dass etwas falsch war - sie würden wahrscheinlich denken, dass die Bank eine neue Routine entwickelt hatte, um die Dinge für sie weniger lästig zu machen. – dagoof

+0

Leider bietet dies nicht die Sicherheit, von der Sie denken, dass sie dies tut.Schauen Sie sich das Beispiel von Sarah Palins "gehacktem" Konto an. – bdl

2

Die Internet- und Web-Browser hatten ein paar coole Funktionen, die dort tatsächlich Anwendung finden könnten.

Einer war etwas namens "Domain-Namen." Anstatt den Namen der Website auf der rechten Seite der Symbolleiste einzugeben, gab es auf der linken Seite ein weiteres, größeres Textfeld, in das Sie es eingeben konnten. Anstatt eine proprietäre Google-Datenbank zu durchsuchen, die auf riesigen Farmen von Magic 8-Balls läuft, suchte dieses geheimnisvolle "Adressfeld" nach einer autorisierenden Registrierung von "Domain-Namen" und führte Sie jedes Mal zur richtigen Seite.Leider mussten Sie manchmal bis zu zusätzliche Zeichen eingeben! Diese Belastung war für die meisten Benutzer zu groß, und dieses umständliche Merkmal wurde aufgegeben.

Eine andere Sache, die Sie in Browsern zu sehen war, war ein so genanntes "Lesezeichen". Etymologen versuchen immer noch herauszufinden, woher der Begriff "Lesezeichen" stammt. Sie vermuten, dass es etwas mit Papier mit lustigen Kringeln zu tun hat. Wie auch immer, diese Lesezeichen erlaubten es den Benutzern, eine Schaltfläche zu erstellen, die sie direkt zu der interessanten Website führen würde. Natürlich war das Erstellen eines Lesezeichens ein langwieriger, einschüchternder Prozess, der manchmal bis zu zwei Menüklicks erfordert — oder schlimmer noch, die Verwendung der Strg-Taste!

Ah, die Wunder der Alten.

Quelle

2010-02-12 17:19:08 erickson

+0

"riesige Farmen von Magic 8-Balls", die mich zum Lachen brachten. Du machst mich alt mit meiner Verwendung dieser arkanen Künste! Andererseits weiß ich es besser und verstehe, wie das Surfen im Internet funktioniert. Es ist eine neue Welt, in der wir jetzt leben, und die Art der Benutzer, die hier vorgestellt werden, sind die gleichen Leute, die wir als Kunden in einem Internet-basierten Geschäft haben möchten. –

+0

Wenn "ein Narr und sein Geld bald getrennt werden", dann, ja, diese Leute sehen aus wie große Kunden. – erickson

+0

Ich beschuldige Internet Explorer .. Was andere böse Browser geben Sie in der URL-Adressleiste "facebook.com" ein, nur um eine MSN-Suchseite zu erhalten, sagen Sie nach "facebook.com" gesucht .. Nein, nein, es erfordert "http : // facebook.com "um direkt auf die Seite, die Sie beabsichtigen, zu gelangen .. – Earlz

0

Sie können Phishing nicht per se verhindern, aber Sie können mehrere Schritte ausführen, von denen jeder ein wenig zur Minderung des Problems beiträgt.

1) Wenn Sie etwas wie einen Site-Key oder ein Anmelde-Siegel haben, stellen Sie bitte sicher, dass diese nicht auf einer bösartigen Website erstellt werden können. Nur Javascript framebusting kann nicht genug sein, da IE security = "restricted" hat.

2) Seien Sie sehr konsequent darüber, wie Sie nach Benutzeranmeldeinformationen fragen - bedienen Sie das Anmeldeformular über SSL (nicht nur Post-Back über SSL). Fragen Sie nicht an mehreren Orten oder Websites um Anmeldung. Ermutigen Sie Dritte, die mit auf Ihrer Site gespeicherten Benutzerdaten arbeiten möchten, OAuth zu verwenden (anstatt das Passwort Ihres Benutzers zu verwenden).

3) Sie sollten niemals nach Informationen per E-Mail fragen (mit oder ohne Link).

4) Haben Sie eine Sicherheitsseite, auf der Sie über diese Probleme sprechen. Senden

5) Benachrichtigung über Änderungen an registrierten Telefon, E-Mail usw.

Abgesehen von oben, Monitor-Benutzerkonto Aktivität - wie Änderungen an Kontaktinformationen, Sicherheit Q & A, Zugang usw. (Hinweis darauf, Zeit, IP, und es gibt mehrere subtile Techniken).

Quelle

2010-02-12 19:15:30 mar

Verwandte Themen

 Verwandte Themen