历史似乎已经绕了一圈，旧问题在新/新兴技术中出现。

背景

如果您信任操作系统，Windows 最初使用 Control - Alt - Delete 来防止 TSR（终止并保持驻留）程序窃取密码。它还调用了一个 GINA，现在是 Windows 安全子系统（现在不管它叫什么）。

如果您信任浏览器，Web 浏览器会使用浏览器中的 SSL/TLS/HTTPS 图标证明安全性，有时它们会将状态栏涂成绿色，以显示为 SSL 证书多付的网站。

问题

现在移动设备在导航时不显示 HTTPS 状态栏，因此无法判断您是在合法网站上，还是通过 SSLStrip MITM 或 HTTPS 被黑客入侵。最重要的是，操作系统本身没有集成安全模式，因此几乎不可能区分合法的身份验证对话框和冒名顶替者。

你能从合法对话中分辨出冒名顶替者吗？

尽管我在上面演示了 Azure Active Directory 联合，但同样的问题也适用于利用其他系统（OAuth、OpenID、Facebook、Ping Identity、ADFS）的消费者和企业帐户

当我下载了一个 Android 应用程序时，我想到了这个问题，该应用程序显然是对我的凭据进行网络钓鱼，因此它可以发布对自己的好评。... 一种应用审查蠕虫。

问题

• 愚蠢的最终用户如何在移动设备上保护自己免受此类攻击？

• 物理证书是防止网络钓鱼的唯一选择吗？（TLS 相互认证）

• FIDO 是否在保护移动空间方面发挥作用？