Inserimento PIN tramite tastiera HTML resa

Naviga le tue risposte
2

Ho un'applicazione web che sostituisce un predecessore non Web.

Un gruppo di utenti di basso livello ha accesso alle funzionalità di base con pannelli tattili nella versione precedente non Web del prodotto con i pannelli tattili protetti da un codice PIN.

I pannelli dei dispositivi sostitutivi saranno Android. Abbiamo suggerito di farlo come passphrase o come input numerico, ma la gestione del prodotto richiede una schermata HTML "key pad" al posto del normale comportamento del pannello di input di Android.

Il sentimento è che questo è meno sicuro rispetto all'utilizzo degli input del sistema operativo, ma non riesco a trovare una ragione concreta che dovrebbe essere che non si applica anche in entrambi i casi.

Sto trascurando qualcosa o la mia reazione iniziale non è corretta qui?

    
posta Bill 18.06.2016 - 21:17
fonte

1 risposta

2

Non ci sono enormi carenze di sicurezza con loro. In realtà, molti siti Web (in particolare le banche) stanno già utilizzando le tastiere di rendering Web come parte del meccanismo di autenticazione del sito Web dei propri clienti.

Anche se ci sono ancora pro e contro, questo offre agli sviluppatori una maggiore flessibilità rispetto all'utilizzo di un SO standard. In particolare, i numeri possono essere presentati in ordine casuale (impedendo la navigazione a tracolla) e può essere reso impossibile (o almeno difficile) per gli utenti finali copiare e incollare la password o fare in modo che il browser la ricordi.

L'argomento principale che ho visto contro tali sistemi è una diretta conseguenza della funzione anti-copia-incolla, poiché impedisce anche l'uso di un software sicuro per la password per archiviare in modo sicuro la password. Ma questa non è una debolezza della tastiera HTML resa di per sé.

Come hai detto, tutti gli attacchi validi contro il primo potrebbero anche essere fatti contro quest'ultimo in una forma o nell'altra.

    
risposta data 19.06.2016 - 16:13
fonte

Leggi altre domande sui tag

Se una connessione VPN client-server aziendale laptop dura per giorni? Accesso non autorizzato all'area di amministrazione di un'app per rails, dall'IP aziendale