Làm cách nào để bạn có thể đảm bảo rằng người dùng biết họ đang ở trên trang web của bạn?

Question

Cuộc nói chuyện của thị trấn internet ngày nay là SNAFU dẫn đến hàng chục người dùng Facebook được dẫn đầu bởi tìm kiếm của Google đến một bài viết trên ReadWriteWeb về thỏa thuận Facebook-AOL. Điều gì xảy ra sau đó trong comments tread nhanh chóng trở thành công cụ của truyền thuyết internet.

Tuy nhiên, đằng sau sự vui nhộn là một thực tế đáng sợ rằng đây có thể là cách người dùng duyệt đến tất cả các trang web, bao gồm cả ngân hàng của họ và các trang web quan trọng khác. Tìm kiếm nhanh "đăng nhập trang web ngân hàng của tôi" và nhanh chóng nhấp vào kết quả đầu tiên. Khi họ ở đó, người dùng sẵn sàng gửi thông tin đăng nhập của họ ngay cả khi trang web trông không giống trang web họ cố truy cập. (Điều này được chứng minh bằng thực tế là nhận xét của người dùng được kết nối với tài khoản facebook của họ qua kết nối facebook)

Ngăn chặn kịch bản này nằm ngoài tầm kiểm soát của chúng tôi và giáo dục người dùng của chúng tôi . Vậy làm cách nào chúng ta có thể đảm bảo rằng người dùng biết họ đang ở trên trang web chính xác trước khi cố gắng đăng nhập? Có phải cái gì đó giống như Bank of America's SiteKey đủ hay là một cảnh sát khác có trách nhiệm thay đổi trách nhiệm về người dùng?

Answer 1

Khi tôi thiết lập tài khoản ngân hàng trực tuyến của mình, nó yêu cầu tôi chọn từ một số hình ảnh. Hình ảnh tôi chọn hiện được hiển thị cho tôi mỗi lần tôi đăng nhập. Điều này đảm bảo với tôi rằng tôi đang ở đúng trang web.

EDIT: tôi chỉ cần đọc các liên kết về BoA SiteKey, đây là dường như điều tương tự (nó nghe từ tên giống như một dongle thách thức-response)

Tôi cho rằng câu trả lời tốt nhất sẽ là một thiết bị phần cứng mà yêu cầu mã từ ngân hàng và người dùng và được xác thực cả hai. Nhưng bất kỳ điều nào trong số này đều cho rằng mọi người đang thực sự nghĩ về vấn đề, tất nhiên là không. Điều này đã xảy ra trước khi ngân hàng internet được phổ biến - tôi đã có một người bạn có ví của cô bị đánh cắp trở lại trong những năm 90, và theif gọi điện cho cô giả vờ là ngân hàng của mình và thuyết phục cô tiết lộ mã PIN của mình ...

Answer 2

Trang web có thể "cá nhân hóa" chính nó bằng cách hiển thị một số thông tin cá nhân, dễ nhận ra bởi người dùng, trên mọi trang. Có rất nhiều cách để thực hiện nó. Điều hiển nhiên: trong lần truy cập đầu tiên, trang web yêu cầu người dùng tải lên một số hình đại diện, và thêm id của người dùng vào cookie. Sau đó, mỗi lần người dùng duyệt qua trang web, hình đại diện sẽ được hiển thị.

Answer 3

Khi người sử dụng lần đầu tiên trên trang web và các bản ghi trong, ông có thể chia sẻ một số thông tin cá nhân (thậm chí một cái gì đó rất tầm thường) mà các site lừa đảo không thể có thể bí quyết - linh vật học cao, đường phố đầu tiên sống trên vv

Nếu có bất kỳ câu hỏi nào về tính xác thực của trang web, trang web có thể chia sẻ thông tin này lại cho người dùng.

Giống như trên các chương trình truyền hình/phim có cặp đôi độc ác. Cặp đôi tốt luôn luôn tin tưởng bằng cách chia sẻ một bí mật mà chỉ có một người đang cố gắng tìm ra xem ai là người tốt sinh đôi sẽ biết.

Answer 4

Internet và trình duyệt web được sử dụng để có một số tính năng thú vị có thể thực sự có một số ứng dụng ở đó.

Một thứ được gọi là "tên miền". Thay vào đó, nhập tên trang web trên trang web bên phải của thanh công cụ của bạn, có một trường văn bản lớn hơn ở bên trái, nơi bạn có thể nhập nó. Thay vì tìm kiếm một cơ sở dữ liệu độc quyền của Google chạy trên các trang trại rộng lớn của Magic 8-Balls, trường "địa chỉ" phức tạp này đã tư vấn một đăng ký có thẩm quyền về "tên miền" và sẽ dẫn bạn đến đúng trang web mọi lúc.Đáng buồn thay, đôi khi, bạn phải nhập tối đa ký tự thừa! Gánh nặng này quá lớn đối với hầu hết người dùng, và tính năng rườm rà này đã bị hủy bỏ.

Một thứ khác bạn thường thấy trong trình duyệt là thứ được gọi là "dấu trang". Etymologists vẫn đang cố gắng xác định nơi mà thuật ngữ "bookmark" có nguồn gốc. Họ nghi ngờ nó có cái gì đó để làm với giấy với cười khúc khích trên đó. Dù sao, những dấu trang này cho phép người dùng tạo ra một nút sẽ đưa họ trực tiếp đến trang web quan tâm. Tất nhiên, việc tạo dấu trang là một quá trình tẻ nhạt, đáng sợ, đôi khi yêu cầu nhiều như hai nhấp chuột menu — hoặc tệ hơn, sử dụng phím Ctrl!

Ah, kỳ quan của người xưa.

Answer 5

Bạn không thể ngăn lừa đảo trực tuyến nhưng bạn có thể thực hiện một vài bước để thực hiện một chút để giảm thiểu sự cố.

1) Nếu bạn có thứ gì đó như khóa trang web hoặc dấu đăng nhập, hãy đảm bảo rằng chúng không thể được đặt trên một trang web độc hại. Chỉ cần javascript framebusting có thể không đủ như IE có bảo mật = "bị hạn chế".

2) Hãy rất nhất quán về cách bạn yêu cầu thông tin đăng nhập của người dùng - cung cấp biểu mẫu đăng nhập qua SSL (không chỉ đăng lại qua SSL). Không yêu cầu đăng nhập trên một số địa điểm hoặc trang web. Khuyến khích các bên thứ ba muốn làm việc với dữ liệu người dùng được lưu trữ trên trang web của bạn để sử dụng OAuth (thay vì lấy mật khẩu của người dùng của bạn).

3) Bạn không bao giờ nên yêu cầu thông tin qua email (có hoặc không có liên kết).

4) Có trang bảo mật nơi bạn nói về những vấn đề này.

5) Gửi thông báo về những thay đổi đăng ký điện thoại, email, vv

Ngoài từ trên cao, giám sát hoạt động tài khoản người dùng - chẳng hạn như thay đổi thông tin liên lạc, an ninh Q & A, truy cập, vv (thời gian ghi nhận, ip, và có một số kỹ thuật tinh tế).