Mi banco me hace ingresar mi contraseña con el mouse. ¿Que pasa con eso? [duplicar]

13

El proceso de inicio de sesión de banca por Internet para Westpac requiere que el usuario ingrese la contraseña con el mouse. Es molesto, ¿qué pasa con eso? ¿Es solo para intentar detener a los keyloggers en las computadoras públicas o hay alguna razón mejor?

Su aplicación móvil te permite iniciar sesión con el teclado.

    
pregunta wim 18.10.2012 - 05:41
fuente

2 respuestas

17

La entrada gráfica de contraseñas es inicialmente un intento de frustrar a los keyloggers. Cuando empezaron a aparecer cosas así, los keyloggers evolucionaron naturalmente (las personas que escriben los keyloggers no han dejado de desarrollarlos; se adaptan a las nuevas condiciones) y los keyloggers modernos también son mouseloggers que registran, para cada clic, una instantánea parcial de la pantalla (una pequeña área que rodea el punto de clic).

Otra razón por la que algunos bancos utilizan métodos de entrada de contraseña gráfica es porque no les gustan los navegadores web que recuerdan las contraseñas. Esto puede ser por tecnicismos legales: si el navegador recuerda la contraseña, el usuario no la ingresa, y esto puede dificultar la tarea del banco en caso de algún conflicto entre el banco y el usuario. . Pero, en la práctica, como medida de seguridad, la contraseña gráfica fracasa: si el usuario no puede hacer que su navegador recuerde la contraseña, utilizará otro medio de almacenamiento, por ejemplo, una nota adhesiva.

Una razón más convincente, para un banco, para implementar una razón gráfica es la administración de confianza. La base del sistema bancario es confianza : un banco es una entidad a la que le da su dinero, en la creencia de que se lo devolverá cuando lo desee. Pero como el banco usa ese dinero (para prestárselo a otras personas), se basa intrínsecamente en la idea de que no todos sus clientes querrán recuperar su dinero simultáneamente (eso sería un bank run ). Mientras todos los clientes compartan esa idea, el banco vive. Esa es la razón por la que los edificios bancarios son siempre impresionantes (en el siglo XIX, todos estaban llenos de pilares de piedra y hierro y mármol, con una arquitectura extremadamente "masiva"): esta es una muestra consciente de estabilidad y robustez, por lo que piensa El banco en esos términos.

En la era de Internet, la entrada de contraseña gráfica es un pilar de piedra: establece una distancia psicológica firme entre el banco y los sitios menos serios. No se vería bien si el sitio web del banco en línea fuera demasiado similar al sitio que utiliza para pedir una pizza. Cuando inician sesión en su cuenta bancaria, los clientes deben tener la sensación de que ingresan a una zona de "alta seguridad" en la que su seguridad se toma en serio. La "entrada de contraseña gráfica", como todas las cosas gráficas, es un buen truco para eso (los humanos son animales visuales, reaccionan fuertemente a lo que ven ). El sitio web de mi banco no tiene una entrada de contraseña gráfica, pero se encarga de abrir una ventana emergente con una imagen de un candado, por las mismas razones.

    
respondido por el Thomas Pornin 18.10.2012 - 13:25
fuente
5

No estoy familiarizado con este banco en particular, pero hay algunas posibilidades.

  1. Como sugirió, podría ser más difícil el registro de claves.
  2. ¿Es por casualidad también Flash? Pueden estar haciendo algún cifrado del lado del cliente o algo más en los datos de entrada antes de que se envíen
    1. Es posible que a sus desarrolladores les resulte más fácil codificar esto en flash / actionscript en comparación con JavaScript (he visto impulsiones javascript de cifrado de clave pública en las credenciales de usuario para limitar MiTM)
    2. Quieren ofuscar cualquier operación que estén realizando en el lado del cliente
    3. Quieren que sea más difícil que interfieran algunos complementos u otros javacript locales
  3. Suponiendo que no solo envíe la contraseña sin realizar otras manipulaciones, podría dificultar la escritura de la intercepción o los ataques de fuerza bruta (por ejemplo, no puede realizar una secuencia de comandos de los paquetes HTTP sin procesar debido a las manipulaciones).
  4. Tal vez solo están tratando de verse bien
  5. El uso de este sistema podría hacer que sea más fácil implementar otra cosa del lado del cliente o integrarse con algún tipo de OTP o CAPTCHA para que los desarrolladores los mantengan.

Ciertamente hay muchas intenciones, algunas de las cuales podrían no agregar ninguna ventaja real de seguridad.

    
respondido por el Eric G 18.10.2012 - 07:05
fuente

Lea otras preguntas en las etiquetas