Questo problema è più politico che tecnico.
L'organizzazione ha molti computer che si collegano tramite browser web a un database centrale. I clienti vengono regolarmente lasciati incustoditi con accesso fisico ai terminali per oltre 15 minuti alla volta. Ho riferito che sono vulnerabili ai keylogger hardware. La risposta ufficiale all'IT è stata: "Siamo consapevoli di questa possibilità e abbiamo una soluzione: ottenere le password non farebbe bene a un utente malintenzionato". Ma i superiori non gli permisero di dire altro - sicurezza attraverso l'oscurità.
Il punto è: penso che stiano bluffando. Non so quale sia la loro soluzione, ma ci sono centinaia di vettori di attacco aperti quando si ha accesso fisico. Non sono davvero preoccupati perché il rischio (probabilità di attacco) è abbastanza basso da superare il costo del miglioramento della sicurezza fisica? Come faccio a farli ascoltare? Vale anche la pena?