web-dev-qa-db-ja.com

偽の認証画面からモバイルサインオンをどのように保護できますか?

歴史はほぼ完全に一周し、古い問題が新しいテクノロジーや新興のテクノロジーに見られるようになったようです。

背景

オペレーティングシステムを信頼する場合、WindowsにはもともとTSR(Terminate and Stay Resident)プログラムがパスワードを盗むのを防ぐ方法としてControl-Alt-Deleteがありました。また、GINAをWindows Secure Subsystemに呼び出しました(最近では何と呼ばれています)。

ブラウザーを信頼している場合、WebブラウザーはブラウザーのSSL/TLS/HTTPSアイコンを使用してセキュリティを証明し、SSL証明書に対して過剰に支払ったサイトのステータスバーを緑色に着色することがあります。

問題

これで モバイルデバイスはHTTPSステータスバーを表示しません ナビゲートするときに、正当なサイトにいるか、SSLStrip MITMまたはHTTPSを介してハッキングされているかを判別することはできません。その上、OS自体に統合されたセキュアモードがないため、正当な認証ダイアログを偽者と区別することはほぼ不可能に思われます。

正当なダイアログから偽者を教えてもらえますか?

Windows Mobile, Android, iOS login screens to Azure AD

上記のAzure Active Directoryフェデレーションを示していますが、同じ問題が他のシステム(OAuth、OpenID、Facebook、Ping Identity、ADFS)を利用するコンシューマーアカウントおよび企業アカウントにも当てはまります。

Androidアプリが自分の資格情報をフィッシングしているため、自分自身の好意的なレビューを投稿できるようにアプリをダウンロードしたときに、この問題が頭に浮かびました。..一種のアプリレビューワーム。

質問

  • ばかげたエンドユーザーは、モバイルデバイスでこのような攻撃から自分をどのように保護できますか?

  • 物理証明書 はフィッシングを防止する唯一のオプションですか? (TLS相互認証)

  • FIDOはモバイルスペースの確保に役割を果たしますか?

authenticationmobileman-in-the-middlesslstripfido
13
goodguys_activate

安全を確保する唯一の方法は、Chromeなどの信頼できるモバイルアプリケーションを使用していて、アドレスバーの先頭に南京錠とHTTPSが表示されていることです。

ここでは、ChromeとHTTPSであるWebサイトのドメインの両方を信頼していることに注意してください。

ブラウザを統合するサードパーティのアプリケーションを使用している場合は、そのアプリケーションを信頼しています。そのアプリケーションを信頼しない場合、そのアプリケーション内に表示されるものを信頼することはできません。したがって、信頼できるアプリケーション(この場合はChrome)を介してのみ資格情報を入力する必要があります。全画面ページではChromeで全画面を表示する権限が必要になるため、Chromeでユーザーに警告することなく、アドレスバーを描画するページはできなくなりました。

アプリを信頼する場合でも、アプリが読み込まれることに注意する必要があります スキームの乗っ取りの対象となる可能性があります 実際には、読み込まれるはずのアプリではない可能性があります。資格情報を入力する前に、常にアプリケーションを手動でロードしてください。

3
SilverlightFox