Vlákno názorů k článku Phishingový útok výměnou IDN znaků v doméně znovu na scéně od karel - Tady každý nadává na to jaká je to...
-
karel (neregistrovaný)
Tady každý nadává na to jaká je to blbost a jak je to snadno zneužitelné. Přitom už dneska se podobné útoky dají použít i bez IDN. Stačí záměny l1I, 0o apod, které jsou v některých fontech těžko odhalitelné. A přesto se podobné útoky zas tak často neobjevují. Je to čistě technický problém, který se dá rozumně řešit pomocí nastavení pravidel registrace. A pak konečně budeme moct psát česky a cesky. Je to jenom neschopnost/neochota to vyřešit a domluvit se na rozumných pravidlech.
-
. . (neregistrovaný)
asi bychom měli začít weby identifikovat podle něčeho jiného než podle domény. Je nereálné, aby si každý přesně zapamatoval všechny domény, na které pravidelně chodí a které jsou zásadní při zneužití.
Tady se řeší záměna podobných písmen, přitom člověk se nechá obelhat i při změna jejich pořadí.
EV certifikáty jsou také matoucí, copak já vím, která společnost je za kterým webem? Už je to ale daleko lépe dohledatelné a ověřitelné.
-
Filip JirsákStříbrný podporovatelEV certifikáty jsou také matoucí, copak já vím, která společnost je za kterým webem?
OV a EV certifikáty ale mají přesně opačnou funkci – neznám web ale znám společnost. Víc smyslu to dává u starších společností, internetové firmy už se většinou rovnou identifikují se svou doménou.Záměna pořadí písmen je zajímavý problém, podobně jako velké množství TLD. Ale podle mne to nemá řešení na straně identifikace – podle mne by to nezachránila ani žádná jiná identifikace webů (lidé si přeci jen nejlépe zapamatují slova, a ta už se – co do možnosti snadné identifikace – v doménách používají).
Na důležité weby se uživatelé často přihlašují, správce hesel si domény nepoplete – to je jedno z možných řešení. Ale obecně se tomu musíme naučit bránit stejně, jako podvodům v off-line světě.
-
. . (neregistrovaný)
Ano, tohle nikam nevede, spoléhat na to, že uživatel 100% pozná doménu je alibismus. Demonstrací, kdy i špičkám v oboru se úspěšně podvrhla nastražená doména jsem viděl několik.
Musíme zrušit hesla, resp. uživatelsky zadávaná hesla, správce hesel by se měl stát chráněnou součástí systému stejně jako antivirus a stroje se budou ověřovat sami mezi sebou, záměna domény pak nebude hrát tak velký vliv. Vidíte někdo jinou cestu?
Ve firemní světě už jsou běžné čipové karty v noteboocích, zadávání hesel se pomalu vytrácí nebo funguje jen jako fyzická ochrana před zneužitím stanice.
