Entrada de PIN a través de HTML Teclado representado

Navega tus respuestas
3

Tengo una aplicación web que reemplaza a un predecesor que no es web.

Un conjunto de usuarios de bajo nivel accedió a la funcionalidad básica con paneles táctiles en la versión anterior del producto que no está en la web y los paneles táctiles están protegidos con un código PIN.

Los paneles de dispositivos de reemplazo serán android. Hemos sugerido hacer esto como una frase de contraseña, o como una entrada numérica, pero la administración del producto quiere una pantalla HTML representada en el "teclado" en lugar del comportamiento normal del panel de entrada de Android.

La sensación de la tripa es que esto es menos seguro que usar las entradas del sistema operativo, pero no puedo encontrar una razón concreta para que no sea aplicable en cualquier caso.

¿Estoy pasando por alto algo o mi reacción inicial es incorrecta?

    
pregunta Bill 18.06.2016 - 21:17
fuente

1 respuesta

2

No hay grandes debilidades de seguridad con ellos. En realidad, muchos sitios web (especialmente los bancos) ya están usando teclados web representados como parte del mecanismo de autenticación del sitio web de sus clientes.

Si bien todavía hay ventajas y desventajas, esto ofrece a los desarrolladores más flexibilidad que el uso de la entrada estándar del sistema operativo. En particular, los números se pueden presentar en orden aleatorio (evitando la navegación por los hombros) y se puede hacer imposible (o al menos difícil) para los usuarios finales copiar y pegar la contraseña o hacer que el navegador la recuerde.

El principal argumento que vi contra tales sistemas es una consecuencia directa de la función de copiar y pegar, ya que también evita el uso de software de seguridad de contraseñas para almacenar de forma segura la contraseña. Pero esto no es una debilidad del teclado HTML representado per se.

Como dijiste, todos los ataques válidos contra el primero también podrían hacerse contra el último de una forma u otra.

    
respondido por el WhiteWinterWolf 19.06.2016 - 16:13
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar la instrucción HALT CPU para detener los ataques? ¿La conexión VPN cliente-servidor de una computadora portátil debe durar días?