Design-Fehler, neben Schwachstellen, Hurt Banking Sites

Banking-Websites leiden nach einer Studie der University of Michigan, die am Freitag veröffentlicht wird, unter Designschwächen, die ihre Sicherheit untergraben, ausgenommen Software-Schwachstellen.

Von den im Jahr 2006 befragten 214 Websites hatten mehr als 75 Prozent mindestens eine Designfehler, der zu einem Sicherheitsproblem führen könnte, sagte die Universität. Der Fluss und das Layout der Websites können diese Websites riskanter machen, und die Probleme können im Gegensatz zu einer Softwareanfälligkeit nicht mit einem Patch behoben werden.

Einige der Ergebnisse der Studie wurden am Dienstag von der Universität veröffentlicht. Die vollständigen Ergebnisse werden auf dem Symposium zum Thema Usable Privacy and Security Meeting am Freitag an der Carnegie Mellon University in Pittsburgh präsentiert.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Die Studie wurde von Atul Prakash durchgeführt. eine Professorin an der Fakultät für Elektrotechnik und Informatik und zwei Doktoranden, Laura Falk und Kevin Borders. Prakash begann zu untersuchen, nachdem er Probleme mit der Website seiner eigenen Bank bemerkt hatte, sagte die Universität.

Obwohl die Untersuchung im Jahr 2006 durchgeführt wurde, betreffen viele der Probleme immer noch Finanzstandorte. Eine der Hauptschwierigkeiten ist eine Unterauslastung der SSL (Secure Sockets Layer) Verschlüsselungstechnologie auf Webseiten.

Die Studie ergab, dass 47 Prozent der Banken kein SSL auf Anmeldeseiten verwenden, was die Tür für einen Hacker öffnen könnte Daten auf ihren eigenen PC umleiten. Die Verwendung von SSL erleichtert auch einen Man-in-the-Middle-Angriff, bei dem die Daten des Opfers den PC eines Angreifers passieren, bevor dieser an den Server der Bank weitergeleitet wird.

Ein weiteres weit verbreitetes Problem betrifft 55 Prozent der Institutionen und Sicherheitsratschläge auf unsicheren Seiten. Ein Hacker könnte möglicherweise in die Website einbrechen und die Kundendienst-Telefonnummer ändern, um Bankkunden an ein fiktives Call-Center zu verweisen. Auch hier ist SSL das Mittel.

Die Forscher fanden heraus, dass 30 Prozent der Websites Benutzer zu anderen Websites weiterleiten würden, was die Einschätzung der Risikoeinschätzung durch eine Person verfälschen könnte.

Da eine Bankseite vertrauenswürdig ist Die Website, auf die sie verweist, wird wahrscheinlich auch dann nicht als Sicherheitsrisiko betrachtet. Die Bank sollte alle ihre Webseiten auf demselben Server ablegen, aber einige haben Sicherheitsfunktionen ausgelagert, die auf anderen Domains gehostet werden.

Schwache Benutzer-IDs und Passwörter sind nach wie vor problematisch, da 28 Prozent der Banken entweder keine Passwortrichtlinien haben oder schwach sind Einsen. Institutionen werden auch Passwörter oder Anweisungen per E-Mail versenden, was ebenfalls riskant ist, so die Studie.