Security 您如何确保用户知道他们在您的网站上？

今天，互联网城的话题是一场混乱，导致数十名Facebook用户被谷歌搜索（Google search）带到读写网（ReadWriteWeb）上一篇关于Facebook AOL交易的文章。随后发生在互联网上的事情很快成为互联网传奇

然而，在欢闹的背后是一个可怕的事实，这可能是用户浏览所有网站的方式，包括他们的银行和其他更重要的网站。快速搜索“我的银行网站登录”并快速单击第一个结果。一旦他们到了那里，用户就愿意提交他们的凭据，即使该站点与他们试图访问的站点完全不同。（用户的评论通过facebook connect连接到他们的facebook帐户，这一事实证明了这一点）

---

防止这种情况几乎是我们无法控制的，教育我们的用户了解互联网浏览的基本知识可能也是不可能的。那么，我们如何确保用户在尝试登录之前知道他们在正确的网站上呢？这样就足够了，还是又一次逃避责任，把责任推回给用户了？

当我设置网上银行账户时，它要求我从一系列图片中进行选择。我选择的图像现在在每次登录时都会显示给我。这让我确信我在正确的网站上

编辑：我刚刚读到了关于BoA SiteKey的链接，这显然是同一件事（从名字听起来像是挑战响应软件狗）

我想最好的答案应该是一个硬件设备，它需要银行和用户的代码，并对两者进行身份验证。但所有这些都假设人们确实在思考这个问题，当然他们没有。这是在网上银行普及之前发生的——我有一个朋友的钱包在90年代被偷了，theif打电话给她假装是她的银行，并说服她透露她的PIN…

该网站可以通过显示一些个人信息来“个性化”自己， 用户可在每个页面上轻松识别。 有很多方法可以实现它。显而易见的一点是： 在首次访问时，该网站要求用户上传一些头像， 并将用户id添加到Cookie中。之后，每次用户浏览

---

该网站显示了头像。

当用户第一次访问该网站并登录时，他可以分享一些冒名顶替者网站不可能知道的个人信息（甚至是一些非常琐碎的信息）——高中吉祥物、第一条街等

如果有任何关于网站真实性的问题，网站可以将这些信息分享给用户

---

就像电视剧/电影里的邪恶孪生兄弟。好双胞胎总是通过分享一个秘密来赢得信任，而这个秘密只有试图找出好双胞胎是谁的人才会知道。

互联网和网络浏览器过去有一些很酷的功能，实际上可能有一些适用性

一个是所谓的“域名”，而不是在工具栏的右边输入网站名称，在左边有另一个更大的文本字段，您可以在其中输入它。这个神秘的“地址”字段并没有搜索运行在大量魔法8球农场上的专有谷歌数据库，而是查阅了权威的“域名”注册中心，每次都会引导您找到正确的站点。遗憾的是，有时需要输入最多8个字符！对于大多数用户来说，这个负担太重了，这个繁琐的功能已经被放弃了

你在浏览器中经常看到的另一个东西是“书签”。词源学家仍在试图确定“书签”一词的起源。他们怀疑这与纸上有奇怪的歪歪扭扭有关。无论如何，这些书签允许用户创建一个按钮，将他们直接带到感兴趣的网站。当然，创建书签是一个乏味、令人生畏的过程，有时需要点击两次菜单，甚至更糟糕的是，使用Ctrl键

---

啊，古代的奇迹。

你不能阻止网络钓鱼本身，但你可以采取几个步骤，每个步骤都能稍微缓解这个问题

1） 如果您有站点密钥或登录印章之类的内容，请确保这些内容不会在恶意网站上被伪造。由于IE具有security=“restricted”，仅仅破坏javascript框架可能还不够

2） 在如何请求用户凭据方面要非常一致——通过SSL提供登录表单（而不仅仅是通过SSL发回）。不要要求登录几个地方或网站。鼓励希望使用存储在站点上的用户数据的第三方使用OAuth（而不是使用用户的密码）

3） 你不应该通过电子邮件询问信息（有或没有链接）

4） 在安全页面上讨论这些问题

5） 发送更改注册电话、电子邮件等的通知

---

除此之外，还要监控用户帐户的活动，如联系信息、安全问答、访问等的更改（注意时间、ip和一些微妙的技巧）。

如果你阅读链接网站上的评论，你就会意识到这对这些人的要求有多高。如果没有显示图像，他们不会认为有什么不对劲——他们可能会认为银行想出了一些新的程序，让事情对他们来说不那么麻烦。不幸的是，这并没有提供你认为它提供的安全性。看看莎拉·佩林的“黑客”账户的例子，你假设登录该网站的人是像你这样的精明用户，而不是点击搜索结果中的任何链接并试图登录的人。他们可能忘记了他们已经设置了一个映像，只需使用向他们提供的任何登录即可。但您只有在登录后才能获得该映像，对吗？在这一点上，欺骗网站已经有你的凭据（或其中一些），当然，你所能做的就是提醒