Cromulent
2018-06-01 17:49:54 UTC
我今天早上早些時候在考慮這個問題,想知道為什麼網站和設備不為黑客提供假登錄?我的意思是,如果黑客發現了您的一些詳細信息並嘗試登錄到某個網站(例如),則該網站將顯示您已成功登錄,但會顯示完全偽造的虛擬數據。
那樣,黑客將不會知道他們是否正確輸入了登錄詳細信息。它還將在安全情況下保護人們。例如,假設犯罪分子偷了某人的電話並意識到他無法訪問它。然後,他用槍指著所有者,所有者隨後輸入了部分正確的詳細信息,但其中一些錯誤。該設備以偽造模式解鎖,犯罪分子隨後認為他們可以訪問,並決定不開槍,因為他們遵守了自己的意願。但是罪犯永遠不知道他們看到的只是一個假登錄。
有人實施過類似的東西嗎?對我來說,這似乎是個好主意。
1)為什麼設備/站點所有者需要做任何事情。用戶為什麼不能自己設置呢?2)如果知道設備/站點會這樣做,那麼攻擊者是否會嘗試驗證他們是否具有真正的訪問權限?3)您的方法無法倖免[Kerchoff原則](https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle)。
難道這不屬於“默默無聞的安全”之下嗎?我覺得這只會給車主一種誠實的錯誤安全感。
對於人類黑客而言,這是很糟糕的,但是對於不老練的機器人,它可以很好地工作。我管理的網站使用偽造的POST提交表單來捕獲垃圾郵件,而且效果還不錯。
如果這是已知系統,那麼罪犯只是微笑,裝槍,然後繼續:“對,現在是真實的”-“是!”-“說謊!”* BANG *不幸的是。我看不出這能提供什麼安全性。
網站如何知道用戶是黑客,而不是實際用戶?這是指(非中文)用戶從中國登錄或類似情況的情況嗎?
如果我只是輸錯密碼怎麼辦?我不想登錄到假模式。我想知道我輸入的密碼不正確。
犯罪分子多久要求受害者在槍口下登錄他們的帳戶?這聽起來像是極端情況,只會在一般情況下造成不必要的混亂。我輸入錯密碼(一天幾次)的可能性比被阻止(尚未發生)高得多。
這是一個[蜜罐](https://en.wikipedia.org/wiki/Honeypot_(computing))
實際上,@SethR:我已經在新聞中聽到過幾次,所以確實發生了。我不認為這是為了ID盜竊,更多的是可以重置和出售手機。
@Tom.Bowen89解決該問題的方法將是安全圖像-登錄後會顯示一個圖標,只有“真實”用戶知道它是否正確。如果我選擇貓的圖像作為安全圖像,並且登錄並看到蝴蝶,則說明我輸入的密碼錯誤。(一般來說,不要試圖為OP的方法爭論,只是要解決您的特定擔憂。)
這確實存在,[Frauenhofer Institute的MobileSitter](https://www.sit.fraunhofer.de/en/imobilesitter/?cHash=c055727af39b2fb3d6e6e15111b4e2ac&wmc=SM_TW)(不隸屬於)是一個我所知道的例子。他們通過提供直觀的提示(或者您只需在密碼管理器中存儲一個密碼並進行檢查),以@dwizum所評論的方式完全解決了該問題。
據我所知,這是在某些門鎖中實現的。有兩個代碼:用於常規使用和用於強制打開,這也將打開門,但會通知警衛/警察。
@SethWhite很簡單,您只需要檢查邪惡位是否已設置https://tools.ietf.org/html/rfc3514
@SethR顯然,您只是不夠重要:P
實際上,這已經實現。ESET防盜軟件在我的計算機上創建了另一個Windows帳戶。它已解鎖,如果黑客抓住誘餌並單擊它,ESET會為它們拍照,通知我,然後開始跟踪我的計算機。
相關:[是否有可能通過對失敗的登錄嘗試給出錯誤的肯定回答而使暴力攻擊無效?](https://security.stackexchange.com/questions/129898/is-it-possible-make-brute-通過給予假陽性人強制攻擊無效)