| Autor |
Mensagem |
|
|
cv wrote:
Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.
Esta é uma opinião tua a respeito dos teclados e nem vale a pena discutir. Não me interessa se tu acha ruins ou não. Nas circunstâncias atuais é a melhor solução. É com certeza melhor do que deixar um usuário exposto à ação de keylogers.
Se é pra ter um site acessível, então que se tenha adecência de disponibilizar um site especialmente feito para pessoas com necessidades e um site normal. Assim se pode atender a todos tipos de público. Eu já trabalhei desenvolvendo software de acessibilidade, ok. Já fiz sites pra cegos esei que não é possível ter um site acessível e bonito ao mesmo tempo. Um site realmente acessível não pode ter nem sequer javascript. tem que ser purinho, texto, com rótulos em todos objetos, mas isto é outro assunto.
cv wrote:
Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.
quem tem 50% da informação precisa buscar somente os 50% restantes. Se quer trabalhar com segurança teu pensamento tem que ser pessimista, e não otimista.
O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o 'componente de segurança' que ele instala para efetuar transações
o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?
cv wrote:
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.
muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto
|
 |
|
|
cv wrote:
Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam. 
Entenda uma coisa, nada impossibilita ataques, sempre aparece algo que torna a segurança vulnerável. Espera pra ver.
cv wrote:
Teclados virtuais, por melhor que sejam, continuam sendo inuteis quando um spyware captura os movimentos do mouse, teclado e areas da tela. Nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos.
Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.
cv wrote:
E, exatamente o que vc quer dizer com "o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros", e o que isso tem a ver com teclados virtuais?
O algoritmo RSA é o algoritmo que deu origem à rsa, é famoso algoritmo de criptografia com chaves baseadas em números primos. Tudo que a RSA faz tem como princípio este algoritmo, tem a padronização do algoritmo de criptografia no site deles, se tiver curiosidade, vai lá olhar. Trata-se de criptografar as senhas antes mesmo que o browser o faça, pois alguns spywares podem capturar dados antes que o browser os criptografe para envio.
cv wrote:
Eu sugeri fazer isso como um experimento, pra tentar entender melhor pelo que uma pessoa com problemas motores ou visuais de verdade tem que passar. Leia de novo meu post, pq vc provavelmente nao entendeu, ou esta querendo arrumar qualquer coisa pra detonar o meu argumento e nao ta conseguindo.
Não to conseguindo??? ou tu faz um site funcional ou tu faz um site acessível. Permitir digitação é permitir que um hacker possa ter posse de pelo menos 50% da informação, isso não torna nula a chance de ele conseguir os outros 50%.
Se alguém roubar teu smart card ou o token device?
cv wrote:Alem, eh claro, de dificultar o acesso pra todo o resto da sua clientela saudavel, por diversos motivos que eu ja mencionei antes.
Certo. Me diz um banco, um único banco sequer que não use teclado virtual. De todos que conheço, não há um único que não use. Até mesmo o itaú usa um em javascript. Nesse caso, os deficientes estão 100% fora do sistema bancário. Implantar as soluções sigeridas por ti envolve gastos talvez gigantescos, isto é inviável. Às vezes é melhor ter condições de 100% de disponibilidade para 90% do publico do que 20% de disponibilidade para 100%, pense nisto.
cv wrote:
Nao existe ataque a SecurIDs que nao envolva tomar posse fisica do SecurID do dono e saber a outra parte da senha que eh necessaria. Me explica, exatamente, como um trojan ou spyware vai conseguir isso, e eu ate acredito que vc saiba do que esta falando. Do contrario, peco que vc pare de postar nessa thread.
Não vou entrar no mérito do securID. Desconheço qualquer forma que possibilite ataque para descobrir senhas geradas por securID, até pq os tokens expiram. Mas pense comigo, algum dia isso pode acontecer . Já pensou se algum dia alguém consegue descobrir uma fórmula matemática que diga se um número é primo? que sirva para qualquer número primo? Assim poderá ser possível descobrir quais números primos geraram um produto (multiplicacao). Isso acabaria com o alicerce da maioria dos sistemas de criptografia.
cv wrote:teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.
Então me diz, me diz como posso implementar um internetbanking seguro hoje, imediatamente, sem precisar gastar milhões de reais que não estão disponíveis ? seja realista!
cv wrote:
Sim, eu estou certo. E, sinto muito, voce nao eh meu amigo.
então tá. se tu diz vou acreditar em ti. É uma pena, queria tanto tua sábia amizade.
|
|
|
|
cv wrote:
Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze).
eu não falei IMPOSSIBILITAR, falei DIFICULTAR.
cv wrote:
preze). Se ele nao capturar o que foi digitado no teclado, pode capturar a sequencia de movimentos do mouse, ou ate mesmo tirar um screenshot a cada clique ou tecla pressionada. Nesse caso, tanto um teclado virtual quanto um real sao inuteis.
Isso não é nenhuma novidade, amigo, aí é que está a questão do uso de bons teclados virtuais. Qualquer um que conheça teclados virtuais sabe que eles utilizam artefatos como piscar na hora do clique, exibir asteriscos no lugar dos numeros enquanto o mouse está na área de teclas (exigindo, claro, que o usuário memorize os números antes). além disso, há o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros.
cv wrote:
Como disse antes, isso nao resolve nada se o spyware capturar a tela e os movimentos do mouse, e dificulta enormemente o uso da aplicacao por qualquer um que nao tenha visao e movimentos em perfeito estado (quer se convencer disso? Pegue o oculos de 3 graus e pouco de algum amigo, ou tire os seus, e tente usar um teclado virtual num touchpad com os dedos molhados - se vc nao conseguir se logar na aplicacao em menos de 1 minuto, entenda que vc, essencialmente, falhou).
Aff, se uma pessoa precisa usar óculos, é óbvio que ela precisa estar de óculos pra fazer qualquer coisa. Se alguém não precisa usar óculos, usá-lo atrapalharia em qualquer situação. Ninguém consegue fazer nada com um touchpad com os dedos molhados de forma decente. que imbecilidade
Uma pessoa nesse estado provavelmente nem conseguiria acessar um site qualquer que seja. Te digo que menos de 10% dos sites levam em conta questões de acessibilidade.
Quanto ao securID, concordo que o uso de tokens, smart cards e outros artefatos realmente aumenta a segurança, mas perceba, isso não torna nula a possibilidade de ataque por spywares e trojans. As ferramentas de ataque evoluem com a tecnologia. Aliás, ferramentas de ataque são as responsáveis pela evolução da segurança em TI. Quanto mais segurança for oferecida ao usuário, melhor.
cv wrote:
teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.
então todos os sistemas bancários e outros estão errados e tu estás certo? tá legal, amigo
|
|
|
|
cv wrote:
mtroyap wrote:affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela?
O "hacker" em questao nao precisa ir ate a sua casa. Ele pode muito bem estar num internet cafe, ou no cubiculo mais proximo. Pode ser algum parente ou amigo, inclusive. Alem do que, como mencionei na resposta anterior, ele pode muito bem estar usando um keylogger que tire screenshot da area proxima aos cliques.
mtroyap wrote:aff, sinceramente hein meu amigo. teclado virtual é a forma mais segura de evitar fraudes por trojans e outros spywares?
Nao, nao eh. Leia os outros posts nesta thread (inclusive os que eu escrevi antes do seu).
pelo amor de Deus. Não percebes que meu posto foi irônico, com relação ao post do amigo lá em cima?
pcalcado wrote:
rodrigo.achilles wrote:
 Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!
Olha, mais um frequentador do McDonald's 
Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.
Shoes
|
|
|
|
rodrigo.achilles wrote:
E eu nao entendo pq eu eh que tenho que virar o rato de laboratorio aqui, mas ta, de fato, nao recomendado quando usado sozinho, e quando usado em conjunto com outras tecnicas nao oferece la muita seguranca adicional.
Relaxa Carlos, é um exemplo simples. Mas o mais importante é esconder ao máximo as informações, embora não seja possível hoje em dia.
Pelo fato de ter orkut, de ter blog, fotologs, entre outros.
Dica, exiba o minimo de informações sobre vc no orkut
Concordo com vc Fernando.
Vou é me especializar em segurança com a CIA, FBI. Sinistro a coisa está feia por aí.
Abração galera. qq coisa estamos aí. 
por mais que se faça isso, se não for utilizado alguma rtefato que dificulte a captura dos dados por algum spyware, isso não vale de nada.
A estratégia é colocar um teclado virtual, impossibilitar o usuário de digitar dados no teclado, forçá-lo a utilziar o mouse. Colocar o teclado em posições diferentes da tela a cada acesso, embaralhar as teclas e esconder as mesmas durante a escolha das opções.
|
|
|
|
pcalcado wrote:
rodrigo.achilles wrote:
Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!
Olha, mais um frequentador do McDonald's
Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.
Shoes
affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela? aff, sinceramente hein meu amigo. teclado virtual é a forma mais segura de evitar fraudes por trojans e outros spywares?
|
|
|
|
|
|