Le tastiere virtuali non sono più necessarie per la protezione contro i keylogger?

46

La mia banca ha rilasciato una nuova versione del proprio sito di banking online. Questa nuova versione non ha una tastiera virtuale per inserire il PIN. Ho chiesto loro come mi proteggono dai keylogger ma non ho ricevuto alcuna risposta.

    
posta David Lopez 25.10.2017 - 16:37
fonte

3 risposte

86

Le tastiere virtuali erano una soluzione di facile implementazione per il malware che registrava sequenze di tasti dalla tastiera e dai keylogger dell'hardware.

Ma gli sviluppatori di software per il keylogger si sono adattati rapidamente a questa nuova tecnica (a volte semplicemente prendendo uno screenshot focalizzato su dove il mouse fa clic).

Alla fine, non è chiaro se una tastiera virtuale abbia fornito un ampio vantaggio. Certamente sconfiggere un keylogger hardware installato sulla tastiera, ma non è la probabile minaccia.

Dato che il software di keylogging prevede anche l'acquisizione di tastiere virtuali, c'è poco vantaggio nel mantenere questa tecnologia nello scenario ampio e probabile.

I test sono stati effettuati sull'efficacia delle tastiere virtuali:

link

    
risposta data 25.10.2017 - 16:52
fonte
21

Le tastiere virtuali sono comunemente usate nei siti bancari perché hanno (almeno) due professionisti ben curati:

  • proteggono la password da ingenui keylogger
  • impediscono all'utente di memorizzare la password in un file

Ma hanno contro:

  • keylogger specializzati possono ancora spiare le password (vedi la risposta di @ schroeder per una spiegazione più approfondita)
  • quindi impedisce l'uso di password complesse (da 12 a 20 caratteri casuali) archiviati in un gestore di password decente come keepass

Per quanto mi riguarda, non mi piacciono per questo. Ma devo ammettere che possono aggiungere un po 'di sicurezza per gli utenti non attenti alla sicurezza. Il problema con loro è che poiché richiedono una password piuttosto debole (al massimo da 6 a 8 cifre), la banca potrebbe essere incolpata in caso di compromissione.

Con le password standard, gli utenti possono scegliere una password complessa (e si consiglia di farlo). Quindi, se non lo fanno, sono pienamente responsabili in caso di compromesso e non possono incolpare la banca.

    
risposta data 25.10.2017 - 17:41
fonte
3

Una delle motivazioni alla base di una tastiera virtuale era il rischio rappresentato dall'uso di pc nei cybercaffer, nei chioschi ecc. da parte degli utenti per accedere ai siti Web bancari in passato e affidarsi all'autenticazione basata su password ... Con più utenti che ora hanno un dispositivi mobili / personali che il rischio è venuto meno. Alcuni siti bancari avrebbero entrambe le opzioni e fornire consigli su come utilizzare il quale. Anche l'uso su larga scala di multifattore / fuori banda di autenticazione / verifica per le transazioni bancarie ha ridotto il rischio.

Se hai un keylogger installato sul tuo computer hai problemi più grandi. Con i keylogger avanzati una tastiera virtuale non è molto efficace.

    
risposta data 25.10.2017 - 18:19
fonte

Leggi altre domande sui tag