Vlákno názorů k článku Čím a proti čemu se brání Česká spořitelna? od Jaromir - Jasně, grafická klávesnice je nesmysl, a je to...
-
To je ale nepohodlné. Vyžaduje to restart PC a při zadávání transakcí nemůžu vkládat čísla z jiného zdroje (nebo je naopak dávat do účetnictví).
To máš stejně jako s platebními kartami. Kdyby nebylo možné platit jednoduše přečtením údajů na nich vytištěných, tak se nikdy neprosadí.
Jde o to nastavit rozumný poměr mezi rizikem a uživatelským komfortem s tím, že za případné ztráty bude ručit banka. -
Otázka je, jestli když už mám přístup k tomu systému, rovnou není lepší nabourat komunikaci mezi bankovní aplikací a tím tokenem (aby se aplikaci pokaždé vracelo, že je vše vpořádku, to by ale šlo asi jen kdyby banka nepoužila klasickou asymetrickou kryptografii a něco udělala špatně (a že se to dějě celkem často...)).
Ohledně bezdrátové klávesnice máš pravdu (myš mám bezdrátovou, protože kablík omezuje a riziko je oproti klávesnici minimální (nevyťukávám hesla na grafické klávesnici :) ...)), taky mám raději klávesnici připojenou kabelem, a stejná rada platí i pro připojení přes WiFi, kde už jde poslouchat celý počítač. -
njn (neregistrovaný)Ale na bezpečný token žádná aplikace přístup nemá - jde vůči němu jen ověřovat, získat privátní klíč jednoduchým způsobem nelze.
Samozřejmě jde mít antibezpečný token, ale pak takový nekupovat a koukat na recenze a před koupí hledat ve vyhledávači, jestli na něm není nějakej známej bezpečnostní problém.
Btw, velmi bych se vyhýbal bezdrátovým myším a klávesnicím. Většina vůbec nemá přenos šifrovanej (přitom se o tom vůbec nemluví a neschopný firmy takovej šmejd vesele prodávaj dál v tisících), takže keylog si vesele taky může mít soused za zdí... -
Jen tak pro zajímavost, co jsem vygooglil:
dal jsem "the best keyloger"
První odkaz: "http://www.supremtec.com/"
"
You can even configure it to take a screenshot on every mouse click and "Enter" key so you won't miss any event.
"
To je funkce, o které jsem mluvil, když má člověk na daném stroji keyloger, má k němu přístup, a není problém nainstalovat trojského koně, kterým přímo vidím jeho obrazovku, hýbu myší, vidím, co má ve schránce a vidím kam kliká.
Takže grafická klávesnice není zabezpečení. To je jen funkční vychytávka pro případy, když někdo nemá klávesnici a má pouze myš.
Zabezpečení je ověřování přes nezávislý zdroj (minimálně SMS na mobil, "klíčenka" od mBanky). Pokud má člověk na disku (na flash-disku...) svůj privátní klíč a podepisu jím, tak k němu má útočník (v případě trojanu) fyzicky samozřejmě taky přístup.
Prostě je třeba při zabezpečení uvažovat, a ne nabízet grafické klávesnice, které fungovaly proti keylogerům možná tak před 10 lety, teď jsou už ale naprosto nanic, protože každý pořádný keyloger umí snímat okolí myši... -
****** (neregistrovaný)Screenshoty by možná ani nebyly potřeba, neboť všechny klávesy mají určitou relativní pozici vůči tlačítku ODESLAT. Kdyby tlačítko bylo velké, tak by to jednoduše určit nešlo. Ale ono není a myslím, že možností by nakonec nebylo tolik, takže ve finále stačí posílat pouze X a Y hodnoty :-)
PS: metoda potichu předpokládá, že uživatel klikne na ODESLAT myší a tím celou předanou hodnotu opatření odvaří :-) -
"Z minulosti jsou ale ze zahraničí známé i útoky proti tomuto systému, škodlivý kód ve standardním zobrazení sleduje danou oblast prohlížeče, zachytává klepnutí myší a podle souřadnic je schopen v některých případech přesně odhadnout stisknuté grafické klávesy."
"v některých případech přesně odhadnout"?
Jednoduše se udělá screenshot malé části kolem každého klepnutí myší.
Grafické klávesnice jsou myslím, jako zabezpečení, už dávno minulostí, a nechápu, že jsou tak prezentovány (natož na Lupě, nebo v bankách, kde se dá čekat minimální znalost problematiky).