ไซต์คีย์

Q: ข้อมูลสำคัญเกี่ยวกับ ไซต์คีย์

SiteKey คือระบบรักษาความปลอดภัยบนเว็บที่ให้บริการ การตรวจสอบสิทธิ์ร่วมกัน ระหว่าง ผู้ใช้ปลายทาง และเว็บไซต์ โดยมีวัตถุประสงค์หลักเพื่อป้องกัน การหลอกลวงทางอีเมล (phishing )

Q: วิธีการทำงาน

SiteKey ใช้ เทคนิค การตอบสนองแบบท้าทาย ดังต่อไปนี้ : [ 3 ] [ 4 ] [ 5 ]

Q: จุดอ่อน

การศึกษาของฮาร์วาร์ด [ 6 ] [ 7 ] พบว่า SiteKey ไม่ได้ผล 97% ในทางปฏิบัติ ผู้คนจริงๆ ไม่ได้สังเกตเห็นหรือไม่สนใจเมื่อ SiteKey หายไป ตามผลการวิจัยของพวกเขา

SiteKeyคือระบบรักษาความปลอดภัยบนเว็บที่ให้บริการการตรวจสอบสิทธิ์ร่วมกันระหว่างผู้ใช้ปลายทางและเว็บไซต์ โดยมีวัตถุประสงค์หลักเพื่อป้องกันการหลอกลวงทางอีเมล (phishing )

SiteKey ถูกนำไปใช้งานโดยสถาบันการเงินขนาดใหญ่หลายแห่งในปี 2549 รวมถึงBank of AmericaและThe Vanguard Groupทั้ง Bank of America และ The Vanguard Group เลิกใช้ในปี 2558 ^{[ 1 ]}^{[ 2 ]}

ผลิตภัณฑ์นี้เป็นกรรมสิทธิ์ของRSA Data Securityซึ่งได้เข้าซื้อกิจการ Passmark Security ผู้ผลิตดั้งเดิมในปี 2006

วิธีการทำงาน

SiteKey ใช้ เทคนิค การตอบสนองแบบท้าทาย ดังต่อไปนี้ : ^{[ 3 ]}^{[ 4 ]}^{[ 5 ]}

ผู้ใช้ระบุตัว ตน ( ไม่ใช่การยืนยันตัวตน) ในเว็บไซต์โดยการป้อนชื่อผู้ใช้ (แต่ไม่ใช่รหัสผ่าน) หากชื่อผู้ใช้ถูกต้อง เว็บไซต์จะดำเนินการต่อไป
หากเบราว์เซอร์ของผู้ใช้ไม่มีโทเค็นสถานะฝั่งไคลเอ็นต์ (เช่นเว็บคุกกี้หรือแฟลชคุกกี้ ) จากการเข้าชมครั้งก่อน ระบบจะขอให้ผู้ใช้ตอบ คำถามด้านความปลอดภัยอย่างน้อยหนึ่งข้อที่ผู้ใช้ระบุไว้ในขณะลงทะเบียนเว็บไซต์ เช่น "คุณเรียนที่โรงเรียนใดเป็นโรงเรียนสุดท้าย"
เว็บไซต์จะตรวจสอบความถูกต้องกับผู้ใช้โดยการแสดงภาพและ/หรือข้อความที่ผู้ใช้ได้ตั้งค่าไว้ก่อนหน้านี้ หากผู้ใช้ไม่รู้จักสิ่งเหล่านี้ว่าเป็นของตนเอง พวกเขาควรสันนิษฐานว่าเว็บไซต์นั้นเป็นเว็บไซต์หลอกลวงและควรออกจากเว็บไซต์นั้นทันที หากผู้ใช้รู้จักสิ่งเหล่านี้ พวกเขาสามารถพิจารณาว่าเว็บไซต์นั้นเป็นเว็บไซต์ที่น่าเชื่อถือและดำเนินการต่อได้
ผู้ใช้จะยืนยันตัวตนเข้าสู่เว็บไซต์โดยการป้อนรหัสผ่าน หากรหัสผ่านไม่ถูกต้องสำหรับชื่อผู้ใช้ ระบบจะเริ่มต้นกระบวนการใหม่ทั้งหมด หากรหัสผ่านถูกต้อง ผู้ใช้จะถือว่าได้รับการยืนยันตัวตนและเข้าสู่ระบบเรียบร้อยแล้ว

หากผู้ใช้เข้าชมเว็บไซต์ฟิชชิ่งที่มีโดเมนเว็บไซต์แตกต่างจากโดเมนที่ถูกต้อง เบราว์เซอร์ของผู้ใช้จะปฏิเสธการส่งโทเค็นสถานะในขั้นตอน (2) เจ้าของเว็บไซต์ฟิชชิ่งจะต้องข้ามการแสดงภาพความปลอดภัยที่ถูกต้อง หรือขอให้ผู้ใช้ป้อนคำถามความปลอดภัยที่ได้รับจากโดเมนที่ถูกต้องและส่งต่อคำตอบ ในทางทฤษฎี สิ่งนี้อาจทำให้ผู้ใช้เกิดความสงสัย เนื่องจากผู้ใช้อาจประหลาดใจที่ถูกขอให้ป้อนคำถามความปลอดภัยอีกครั้ง แม้ว่าพวกเขาจะใช้โดเมนที่ถูกต้องจากเบราว์เซอร์ของพวกเขาเมื่อเร็ว ๆ นี้ก็ตาม อย่างไรก็ตาม ในทางปฏิบัติ มีหลักฐานว่าผู้ใช้โดยทั่วไปมักไม่สังเกตเห็นความผิดปกติดังกล่าว^{[ 5 ]}

จุดอ่อน

การศึกษาของฮาร์วาร์ด^{[ 6 ]}^{[ 7 ]}พบว่า SiteKey ไม่ได้ผล 97% ในทางปฏิบัติ ผู้คนจริงๆ ไม่ได้สังเกตเห็นหรือไม่สนใจเมื่อ SiteKey หายไป ตามผลการวิจัยของพวกเขา

นอกจากนี้ยังต้องการให้ผู้ใช้จดจำข้อมูลการยืนยันตัวตนเพิ่มเติมอีกด้วย บุคคลที่เกี่ยวข้องกับ เว็บไซต์ต่างๆ จำนวน Nเว็บไซต์ที่ใช้ SiteKey จะต้องจดจำข้อมูล4- tuple ที่แตกต่างกันจำนวน N ชุด (เว็บไซต์ ชื่อผู้ใช้ วลี รหัสผ่าน )

การยุติ

ในเดือนพฤษภาคม พ.ศ. 2558 ธนาคารแห่งอเมริกาประกาศว่าจะยกเลิกการใช้งาน SiteKey สำหรับผู้ใช้ทุกคนภายในสิ้นปี และจะอนุญาตให้ผู้ใช้เข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านในขั้นตอนเดียว^{[ 1 ]} ในเดือนกรกฎาคม พ.ศ. 2558 Vanguard ก็ได้ยกเลิกการใช้ SiteKey สำหรับเว็บไซต์ของตนเช่นกัน^{[ 2 ]}

หมายเหตุ

^ ^a ^b "เครื่องมือรักษาความปลอดภัยที่มากขึ้นและขั้นตอนการเข้าสู่ระบบที่ง่ายขึ้นที่ธนาคารแห่งอเมริกา"เก็บถาวรจากต้นฉบับเมื่อ 2015-05-10 เรียกดูเมื่อ2015-05-10
^ ^a ^b "เราได้ปรับปรุงขั้นตอนการเข้าสู่ระบบ Vanguard.com ให้ง่ายขึ้นแล้ว"เก็บถาวรจากต้นฉบับเมื่อ 2016-03-04
^ "คำถามที่พบบ่อยเกี่ยวกับการใช้บริการธนาคารออนไลน์และธนาคารบนมือถือของ Bank of America "
^ Jim Youll (18 กรกฎาคม 2549). "ช่องโหว่การฉ้อโกงในระบบรักษาความปลอดภัย SiteKey ที่ธนาคารแห่งอเมริกา" (PDF) . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 31 ธันวาคม 2559
^ ^a ^b Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4 กุมภาพันธ์ 2550). "ตัวชี้วัดความมั่นคงใหม่ของจักรพรรดิ" (PDF )
^โจเอล ฮรูสกา (20 มิถุนายน 2550). "การศึกษาด้านความปลอดภัยเผยช่องโหว่ในข้ออ้างการตรวจสอบสิทธิ์ขั้นสูง" . Ars Technica .
^ Schecter; Dhamija; Ozment; Fischer (2007-05-20). "ตัวชี้วัดความปลอดภัยใหม่ของจักรพรรดิ: การประเมินการตรวจสอบสิทธิ์เว็บไซต์และผลกระทบของการสวมบทบาทต่อการศึกษาการใช้งาน" (PDF) . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2007-09-27 . เรียกดูเมื่อ2020-04-23 .{{cite journal}}: การอ้างอิงวารสารต้องใช้|journal=( ความช่วยเหลือ )

ลิงก์ภายนอก

การยืนยันตัวตนในสภาพแวดล้อมการธนาคารออนไลน์
SiteKey ที่ธนาคารแห่งอเมริกา
ช่องโหว่ด้านการฉ้อโกงในระบบรักษาความปลอดภัย SiteKey ที่ธนาคารแห่งอเมริกา

[BOARemovesSiteKey-1] "เครื่องมือรักษาความปลอดภัยที่มากขึ้นและขั้นตอนการเข้าสู่ระบบที่ง่ายขึ้นที่ธนาคารแห่งอเมริกา"เก็บถาวรจากต้นฉบับเมื่อ 2015-05-10 เรียกดูเมื่อ2015-05-10

[VanguardRemovesSiteKey-2] "เราได้ปรับปรุงขั้นตอนการเข้าสู่ระบบ Vanguard.com ให้ง่ายขึ้นแล้ว"เก็บถาวรจากต้นฉบับเมื่อ 2016-03-04

[3] "คำถามที่พบบ่อยเกี่ยวกับการใช้บริการธนาคารออนไลน์และธนาคารบนมือถือของ Bank of America "

[4] Jim Youll (18 กรกฎาคม 2549). "ช่องโหว่การฉ้อโกงในระบบรักษาความปลอดภัย SiteKey ที่ธนาคารแห่งอเมริกา" (PDF) . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 31 ธันวาคม 2559

[usablesecurity-5] Stuart E. Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (4 กุมภาพันธ์ 2550). "ตัวชี้วัดความมั่นคงใหม่ของจักรพรรดิ" (PDF )

[ArsTechnicaStudy2007-6] โจเอล ฮรูสกา (20 มิถุนายน 2550). "การศึกษาด้านความปลอดภัยเผยช่องโหว่ในข้ออ้างการตรวจสอบสิทธิ์ขั้นสูง" . Ars Technica .

[SchecterEmperorNewSecurity2007-7] Schecter; Dhamija; Ozment; Fischer (2007-05-20). "ตัวชี้วัดความปลอดภัยใหม่ของจักรพรรดิ: การประเมินการตรวจสอบสิทธิ์เว็บไซต์และผลกระทบของการสวมบทบาทต่อการศึกษาการใช้งาน" (PDF) . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2007-09-27 . เรียกดูเมื่อ2020-04-23 .{{cite journal}}: การอ้างอิงวารสารต้องใช้|journal=( ความช่วยเหลือ )

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]