La mia banca mi fa inserire la mia password usando il mouse. Cosa succede con quello? [duplicare]

13

Il processo di login di Internet banking per Westpac richiede che l'utente inserisca la password usando il mouse. È fastidioso, che succede? È solo per cercare di fermare i keylogger sui computer pubblici o c'è una ragione migliore?

La loro app mobile ti consente di accedere con la tastiera.

    
posta wim 18.10.2012 - 05:41
fonte

2 risposte

17

La voce grafica delle password è inizialmente un tentativo di bloccare i keylogger. Quando queste cose cominciarono ad apparire, i keylogger si evolvettero naturalmente (le persone che scrivono keylogger non hanno smesso di svilupparli, si adattano alle nuove condizioni) e i keylogger moderni sono anche mouseloggers che registrano, per ogni clic, un'istantanea parziale dello schermo (un piccolo area circostante il punto di clic).

Un altro motivo per cui alcune banche usano i metodi di immissione di password grafiche è perché non amano i browser Web che ricordano le password. Questo può essere per tecnicismi legali: se il browser memorizza la password, l'utente non la inserisce, e ciò potrebbe rendere più difficile per la banca in caso di conflitto tra la banca e l'utente . Ma, in pratica, come misura di sicurezza, la password grafica si ritorce contro: se l'utente non può far ricordare al suo browser la password, userà un altro supporto di memorizzazione, ad esempio una nota adesiva.

Un motivo più convincente, per una banca, per implementare un motivo grafico è la gestione della fiducia. Il fondamento del sistema bancario è trust : una banca è un'entità a cui dai il tuo denaro, nella convinzione che te la restituirà quando vorrai. Ma dal momento che la banca usa quel denaro (per prestarlo ad altre persone), si basa intrinsecamente sull'idea che non tutti i suoi clienti vorranno i loro soldi indietro contemporaneamente (sarebbe un bank run ). Finché tutti i clienti condividono questa idea, la banca vive. Questo è il motivo per cui gli edifici bancari sono sempre impressionanti (nel diciannovesimo secolo erano tutti pieni di pilastri di pietra e ferro e marmo, con un'architettura estremamente "massiccia"): questa è una dimostrazione consapevole di stabilità e robustezza, così che pensi la banca in questi termini.

Nell'era di Internet, la voce della password grafica è un pilastro di pietra: stabilisce una solida distanza psicologica tra la banca e i siti meno seri. Non sarebbe bello se il sito Web della banca online fosse troppo simile al sito che usi per ordinare una pizza. Quando accedono al proprio conto bancario, i clienti devono avere la sensazione di entrare in una zona di "sicurezza elevata" in cui la loro sicurezza viene presa sul serio. La "voce della password grafica", come tutte le cose grafiche, è un bel trucco per questo (gli umani sono animali visivi, reagiscono con forza a ciò che vedono ). Il sito Web della mia banca non ha una voce di password grafica, ma si occupa di aprire una finestra popup con l'immagine di un lucchetto, per gli stessi motivi.

    
risposta data 18.10.2012 - 13:25
fonte
5

Non ho familiarità con questa banca particolare, ma ci sono alcune possibilità.

  1. Come hai suggerito, potrebbe essere più difficile rendere la registrazione delle chiavi più difficile.
  2. È per caso anche Flash? Potrebbero fare qualche crittografia sul client o qualcos'altro sui dati di input prima che vengano inviati
    1. I loro sviluppatori potrebbero trovare più semplice codificarlo in flash / actionscript rispetto a JavaScript (ho visto imprementazioni javascript della crittografia a chiave pubblica sulle credenziali dell'utente per limitare MiTM)
    2. Vogliono offuscare tutte le operazioni che stanno facendo lato client
    3. Vogliono rendere più difficile interferire con alcuni plug-in o altri javascript locali
  3. Supponendo che non solo invii la password senza eseguire altre manipolazioni, potrebbe rendere più difficile l'intercettazione degli attacchi di intercettazione o forza bruta (ad esempio, non è possibile eseguire facilmente lo script dei pacchetti HTTP non elaborati a causa di manipolazioni).
  4. Forse stanno solo cercando di sembrare fantastici
  5. L'uso di questo sistema potrebbe rendere più semplice l'implementazione di qualcos'altro lato client o l'integrazione con un tipo di OTP o CAPTCHA da mantenere per gli sviluppatori.

Ci sono sicuramente molte intenzioni, alcune delle quali potrebbero non aggiungere alcun vantaggio di sicurezza reale.

    
risposta data 18.10.2012 - 07:05
fonte

Leggi altre domande sui tag