¿El teclado aleatorio en línea aumenta la seguridad? [duplicar]

Navega tus respuestas
0

El sitio web de este banco * tiene un formulario de inicio de sesión para su sección de banca por Internet. Deshabilitan el campo de contraseña y muestran un teclado virtual aleatorio debajo del formulario de inicio de sesión donde los usuarios deben hacer clic en los botones para agregar caracteres al campo de contraseña.

* No sé si se me permite enlazar realmente al sitio web del banco con fines de demostración, por lo que no lo hago. Puedo agregarlo si ayuda.

Creo que esto es terrible porque:

  1. Es mucho más difícil para los usuarios escribir su contraseña.
  2. Las personas que miran por encima del hombro pueden ver fácilmente en qué tecla se encuentra el cursor, y así socavar todo el punto de la ofuscación de la contraseña.
  3. Las restricciones en el campo de contraseña son del lado del cliente y se pueden deshabilitar fácilmente.

¿Hay alguna buena razón para usar este tipo de técnica que quizás me esté perdiendo?

    
pregunta Gigi 29.06.2017 - 00:34
fuente

2 respuestas

2

El uso de un teclado en pantalla (especialmente aleatorio) es un gran inconveniente para los usuarios, y eso, en general, es malo para la seguridad .

Técnicamente, cualquier teclado en pantalla se implementa para combatir a los registradores de teclado (un problema real, ya que la mayoría de los troyanos bancarios usan esto). Aleatorizar el teclado ayuda a los registradores de acción del ratón.

Sin embargo, en este caso, al deshabilitar el campo de contraseña (especialmente porque impide que los administradores de contraseñas funcionen), el banco está haciendo más daño a sus usuarios que bien. En mi humilde opinión, el impacto neto en la seguridad es negativo.

    
respondido por el Sas3 29.06.2017 - 04:21
fuente
2

Dos partes a mi respuesta

Primero, deshabilitar el campo de contraseña es una mala experiencia para el usuario y bloquea a los administradores de contraseñas, lo que creo que NO agrega seguridad.

En segundo lugar, creo que el teclado en pantalla ofrece una seguridad "buena"; un buen significado adecuado para el nivel de amenaza para la mayoría de los usuarios. Manteniendo la respuesta relacionada con la seguridad, puede ayudar a mitigar algunos registradores clave. Sí, es posible navegar por los hombros, pero ser consciente de esto debería permitirte usar algunas prácticas de sentido común para mitigar eso, y para los usuarios que no tienen ningún sentido común, sospecho que verlos teclear en un teclado es igual de fácil o incluso preguntar. ellos por la contraseña. (Pero sí, esto es negativo)

  

¿Hay alguna buena razón para usar este tipo de técnica que quizás me esté perdiendo?

Aparte de lo que he puesto arriba, entonces no. Implementaciones como esta se agregan para mejorar la sensación de seguridad de los usuarios, especialmente para la mayoría de los usuarios que no tienen seguridad.

    
respondido por el ISMSDEV 29.06.2017 - 06:48
fuente

Lea otras preguntas en las etiquetas

¿Qué partes de un certificado SSL puedo compartir sin revelar la identidad de la autoridad de certificación? Obtener información del propietario del sitio web de phishing