La tastiera in linea casuale aumenta la sicurezza? [duplicare]

Naviga le tue risposte
0

Il sito web di questa banca * ha un modulo di accesso per la sezione di internet banking. Disabilitano il campo della password e visualizzano una tastiera virtuale randomizzata sotto il modulo di accesso in cui gli utenti devono fare clic sui pulsanti per aggiungere caratteri al campo della password.

* Non so se sono autorizzato a collegarmi effettivamente al sito web della banca a scopo dimostrativo, quindi non lo farò. Posso aggiungerlo se aiuta.

Penso che sia terribile perché:

  1. Rende molto più difficile per gli utenti inserire la loro password.
  2. Le persone che guardano oltre la loro spalla possono facilmente vedere a quale tasto si trova il cursore, e quindi compromettere l'intero punto dell'offuscamento della password.
  3. Le restrizioni sul campo della password sono lato client e facilmente disabilitabili.

C'è qualche buona ragione per usare questo tipo di tecnica che forse mi manca?

    
posta Gigi 29.06.2017 - 00:34
fonte

2 risposte

2

L'uso di una tastiera su schermo (specialmente randomizzata) è un grosso inconveniente per gli utenti e, in generale, è cattivo per la sicurezza .

Tecnicamente, qualsiasi tastiera su schermo viene distribuita per combattere i registratori di tastiera (un problema reale dato che la maggior parte dei trojan bancari la usano). Randomizzare la tastiera aiuta contro i registratori di azioni del mouse.

Tuttavia, in questo caso, disabilitando il campo della password (soprattutto dal momento che impedisce ai gestori di password di funzionare), la banca sta facendo più danno ai loro utenti che bene. IMHO, l'impatto netto sulla sicurezza è negativo.

    
risposta data 29.06.2017 - 04:21
fonte
2

Due parti alla mia risposta

Innanzitutto, disabilitare il campo della password è una cattiva esperienza utente e blocca i gestori di password che, a mio parere, non aggiungono alcuna sicurezza.

In secondo luogo, penso che la tastiera su schermo offra una "buona" sicurezza - un buon significato adeguato al livello di minaccia per la maggior parte degli utenti. Mantenere la risposta relativa alla sicurezza può aiutare a mitigare alcuni key logger. Sì, è possibile eseguire la navigazione a spalla, ma essere consapevoli di ciò dovrebbe consentire di utilizzare alcune pratiche di buon senso per attenuarlo e, per gli utenti che non hanno alcun buonsenso, sospetto che vederli digitare su una tastiera sia altrettanto facile o addirittura chiedere loro per la password. (Ma sì, questo è un negativo)

Is there any good reason to use this kind of technique that perhaps I am missing?

A parte quello che ho messo sopra allora no. Implementazioni come questa si aggiungono per migliorare la sensazione di sicurezza degli utenti, specialmente per la maggior parte degli utenti che non conoscono la sicurezza.

    
risposta data 29.06.2017 - 06:48
fonte

Leggi altre domande sui tag

Sanitizzazione della memoria USB sovrascrivendo i dati fittizi Pentest per dispositivo Linux incorporato