La mia banca ha rilasciato una nuova versione del proprio sito di banking online. Questa nuova versione non ha una tastiera virtuale per inserire il PIN. Ho chiesto loro come mi proteggono dai keylogger ma non ho ricevuto alcuna risposta.
La mia banca ha rilasciato una nuova versione del proprio sito di banking online. Questa nuova versione non ha una tastiera virtuale per inserire il PIN. Ho chiesto loro come mi proteggono dai keylogger ma non ho ricevuto alcuna risposta.
Le tastiere virtuali erano una soluzione di facile implementazione per il malware che registrava sequenze di tasti dalla tastiera e dai keylogger dell'hardware.
Ma gli sviluppatori di software per il keylogger si sono adattati rapidamente a questa nuova tecnica (a volte semplicemente prendendo uno screenshot focalizzato su dove il mouse fa clic).
Alla fine, non è chiaro se una tastiera virtuale abbia fornito un ampio vantaggio. Certamente sconfiggere un keylogger hardware installato sulla tastiera, ma non è la probabile minaccia.
Dato che il software di keylogging prevede anche l'acquisizione di tastiere virtuali, c'è poco vantaggio nel mantenere questa tecnologia nello scenario ampio e probabile.
I test sono stati effettuati sull'efficacia delle tastiere virtuali:
Le tastiere virtuali sono comunemente usate nei siti bancari perché hanno (almeno) due professionisti ben curati:
Ma hanno contro:
Per quanto mi riguarda, non mi piacciono per questo. Ma devo ammettere che possono aggiungere un po 'di sicurezza per gli utenti non attenti alla sicurezza. Il problema con loro è che poiché richiedono una password piuttosto debole (al massimo da 6 a 8 cifre), la banca potrebbe essere incolpata in caso di compromissione.
Con le password standard, gli utenti possono scegliere una password complessa (e si consiglia di farlo). Quindi, se non lo fanno, sono pienamente responsabili in caso di compromesso e non possono incolpare la banca.
Una delle motivazioni alla base di una tastiera virtuale era il rischio rappresentato dall'uso di pc nei cybercaffer, nei chioschi ecc. da parte degli utenti per accedere ai siti Web bancari in passato e affidarsi all'autenticazione basata su password ... Con più utenti che ora hanno un dispositivi mobili / personali che il rischio è venuto meno. Alcuni siti bancari avrebbero entrambe le opzioni e fornire consigli su come utilizzare il quale. Anche l'uso su larga scala di multifattore / fuori banda di autenticazione / verifica per le transazioni bancarie ha ridotto il rischio.
Se hai un keylogger installato sul tuo computer hai problemi più grandi. Con i keylogger avanzati una tastiera virtuale non è molto efficace.
Leggi altre domande sui tag client-side web-browser keyloggers