L'uso di una tastiera su schermo dà un falso senso di sicurezza o protegge da tutti i tipi di keylogger? [duplicare]

1

L'uso di una tastiera su schermo (OSK) dà un falso senso di sicurezza? Ad esempio quando le persone usano l'OSK nel tentativo di impedire ai key-logger di registrare informazioni come password, digitate su una tastiera (hardware) reale.

Come OSK di Microsoft come mostrato nel immagine sotto.

Presumochel'utilizzodiunOSKprevengaunattaccoconunkey-loggerhardwarecomenell'immaginesottostante,maOSKimpedisceancheaikey-loggersoftwarediregistrareleinformazioni?

Un altro esempio è un sito Web che ha il proprio OSK implementato nel campo della password, utilizzando HTML e JavaScript.

    
posta Bob Ortiz 12.07.2016 - 00:05
fonte

2 risposte

5

Sì, spesso è solo una "misura di sicurezza" inutile.

Dobbiamo definire il modello di minaccia e poi se una tastiera su schermo fornisce una attenuazione adeguata.

Un OSK protegge da due minacce:

  • Un keylogger hardware

  • Un keylogger software che sta guardando solo lo stato della tastiera (non tenta di sconfiggere un OSK).

Si dovrebbe notare la differenza, tuttavia, che non tutte le implementazioni della tastiera su schermo sono uguali. Ad esempio su Windows, l'OSK può essere eseguito con un UIPI (User Interface Privilege Isolation) o con Android in cui praticamente nessuna implementazione utilizza una tastiera hardware, tale app richiede un permesso speciale.

Quali applicazioni sono implementate sulle tastiere dello schermo? sito web .

Cioè, quelli che stanno forzando l'uso di una tastiera su schermo lo fanno allo stesso livello di privilegio, e come risultato della piattaforma (il browser) in cui sono in esecuzione, non possono effettivamente fare meglio.

Ora, le tastiere sullo schermo erano utili nel corso della giornata, quando i trojan bancari rubavano utenti e password tramite i keylogger. Le tastiere su schermo dei siti web hanno risolto il problema facendo in modo che l'utente non digitasse la propria password con la tastiera. Poi il malware si è adattato rapidamente e ha iniziato a catturare anche lo schermo, un'immagine attorno al mouse, ecc., Superando la soluzione.

I trojan bancari lo stanno facendo da oltre un decennio. Quindi la sicurezza aggiunta da tali tastiere è stata quasi zero per anni.

Dato che la probabilità che l'utente abbia un keylogger hardware è trascurabile, sta solo proteggendo da "keylogger amatoriali".

A questo punto, potresti pensare che potrebbe valere la pena anche per un così piccolo ritorno. Tuttavia, hanno anche un certo numero di inconvenienti:

  • Cattiva usabilità

    • Difficile per le persone con abilità motorie basse che controllano il mouse (principianti)
    • Fastidioso per i dattilografi veloci (esperti)
    • Confusione per tutti quando si randomizza l'ordine
  • Problemi di accessibilità

  • Rende la password vulnerabile alla tracolla

  • Non consente di inserire la password con un gestore di pass

  • Nessuna memoria muscolare

  • Più lento per inserire

  • Dal momento che rende più difficile "digitare" la password, in realtà incoraggia a utilizzare una password più debole

che a mio modesto parere ponderano chiaramente la decisione di non che richiede una tastiera su schermo.

Nota che non c'è alcun problema con l'aggiunta di un OSK facoltativo . E se è probabile che i tuoi clienti utilizzino un alfabeto con caratteri al di fuori dell'intervallo ASCII, potrebbe essere appropriato fornire loro un OSK in modo che possano essere digitati quando si utilizza una tastiera esterna. Ma questa è accessibilità, non sicurezza (anche se supporta indirettamente l'uso di caratteri speciali).

    
risposta data 12.07.2016 - 02:36
fonte
4

Se un utente malintenzionato è consapevole che è possibile utilizzare un OSK (che diventa sempre più comune con i dispositivi touch), può preparare un attacco OSK, ad esempio:

  • cattura gli screenshot dell'OSK e identifica i tasti premuti (ad esempio perché hanno un colore diverso)
  • un suo OSK in aggiunta all'OSK esistente (simile al clickjacking)
  • aggiungi un driver in modalità kernel per fare qualsiasi cosa, ad es. accedere direttamente al contenuto della casella della password

Ancora una volta, la legge n. Si applica 1 di sicurezza del computer:

If a bad guy can persuade you to run his program on your computer, it's not your computer anymore.

    
risposta data 12.07.2016 - 00:09
fonte

Leggi altre domande sui tag