Teclado Virtual de banco

AAAAAAAAAAAAAAAAAAAARGH!!!

Eu imploro, por favor, pelo amor de Zahl, em nome de tudo que eh mais bonito nesse mundo, outro teclado virtual NAO!

Entra no site do Itaú e copia o Javascript deles (aham, você precisa de alguém com uma conta no Itaú). É a coisa mais besta que tem.

Pq? Foi mal eu só queria saber, fiz algo de errado!
Bom, desculpa então.
hehe

Abraçoss

Ah, Thingol o problema é que eu não conheço ninguém com conta no itaú. Tentei pegar do Banco do Brasil que é bonitinho. Quando baixei o JAR, deu defeito.
E não queria em javascript. Queria em Applet.
Valeu de qq modo!

Pega o da Caixa mesmo - se você descompilar vai perceber que é um monstro, cheio de código antigo (como o teclado é muito antigo e é usado para muitas coisas diferentes, não só para o Internet Banking, existe muito código antigo nele.)

Valeu Thingol, e CV.
Primeiro eu fui na caixa e dei uma olhada.
Blz.

E depois usei um pouco da minha inteligência que ainda me resta e busquei no fórum, já que CV comentou que tivesse falando de novo.

Achei muita coisa interessante, até mesmo os contras de usar um teclado virtual.

Eu agradeço mesmo galera.
Abraços.
E desculpe incomodar a galera com um assunto já massacrado.

Obrigado, e até.

Se for pra estudar, tudo bem, mas poooooooor favoooooor, nao faca mais usuarios no mundo terem que usar essa imbecilidade que sao os teclados virtuais. Por favor, mesmo mesmo. Eu imploro. Eu e todo mundo que:

• GOSTA DE SENHAS SEGURAS, COM MAIS DE 10 CARACTERES, MAS TAMBEM TEM AMOR AO PROPRIO SACO
• Usa trackballs, touchpads, touchscreens, ballpointers ou outro ponteiro esquisito
• Nao consegue usar um mouse por alguma deficiencia fisica
• Tem dificuldades motoras (ja viu alguem com 70+ anos logando no site do Bradesco/Itau/Citibank/Caixa/BB/Whatever?)
• Nao enxerga, ou enxerga mal
• Usa browsers que nao suportam Java *
• Usa browsers que nao suportam JavaScript *

Resumindo: sempre que voce pensar em um teclado virtual, pense em um tetraplegico, digitando com um canudinho entre os dentes. Pra esse cara, usar um internet banking eh melhor que qualquer estimulo sexual que o cara ainda consiga sentir, prolongado por dias, e mesmo assim, a imbecilidade absurda de quem quer que tenha concebido a ideia patetica dos teclados virtuais os impede de usa-los. Da pra perceber que eu fico revoltadissimo com isso?

Deve ter um lugar no inferno preparado especialmente pra essas mulas, alias. Que seja um lugar onde todos eles tem mal de Parkinson, um mouse com a bolinha suja com as proprias fezes, e eles tem que usar um teclado virtual desses o dia inteiro.

• Estou falando de browsers pra pessoas cegas ou que so tem acesso a terminais compartilhados, como lynx ou elinks, por exemplo, e nao o IE do paranoico que desabilitou tudo pq semana passada ele entrou no site porno errado e instalou um monte de adware.

CV,

Qual recurso você sugeriria então ?

Abraços…

Algumas alternativas, nem todas mutuamente exclusivas (ou seja, da pra combinar varias dessas e ter ainda mais seguranca):

:arrow: Usar frases-chave (ao menos 20 caracteres / 5 palavras) com 2 ou mais numeros, que expiram em periodos razoavelmente curtos de tempo

:arrow: RSA SecurID

:arrow: Combinacoes de palavras simples de decorar em botoes que variam de posicao na tela a cada login (por exemplo, digite sua frase-chave e escolha as duas frutas certas)

:arrow: Perguntar algum dado pessoal do usuario (2o nome da mae, dia, mes ou ano de nascimento, 3 primeiros ou ultimos digitos do RG, CPF ou outro documento que todo mundo decora)

:arrow: Certificados digitais instalados no cliente

Com certeza eu tou esquecendo de alguma coisa. Louds? Luca? Thingol? Outro tarado por seguranca, ajuda por favor? :mrgreen:

Alguns desses recursos já são usados por alguns bancos.

• RSA SecurID - se você tem uma conta de pessoa jurídica, o Itaú permite o acesso usando esse equipamento (que eles chamam de “token”).

• Certificados Digitais - são na verdade muito mal usados, porque para reduzir o custo, eles normalmente são em disquete mesmo (argh), e dão mais problemas do que garantem a sua segurança. Um exemplo desses malfadados certificados digitais em disquete é o do Office Banking Bradesco.
  A Caixa ia permitir o uso no Internet Banking de certificados digitais em smartcards; não sei quando isso vai ser implantado.

• Frutas, bichos, enigmas - isso não precisa de um pouquinho de Javascript e gráficos não?

• Dados pessoais - são quase públicos - não é difícil descobrir o nome de solteira de sua mãe, por exemplo. Não recomendado.

…mas se mesmooooo assim quizer REALMENTE usar um teclado virtual, o do HSBC é legalzinho.

Fala Galera,

Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!

Pra quem tiver interessado dá olhada no código bem legalzinho. Eu não queria isso, mais dá uma ajuda, embora tenho, agora, argumentos fundamentais para desistir do teclado e procurar ter o máximo de segurança possivel, abrangindo o maior público possível(que é a regra importante para web - O Público Alvo).

Aí vai o arquivo, divirtam-se. 8)

Esse negocio de informações pessoais hj é muito aberto, pelo menos no brasil …

Ex. (

5 mn de Google para achar o nome completo do CV (Alias nome grande pra caramba hehehe)
1 mn pra achar a data de nascimento (orkut)
1 mn pra descobrir o nome do meio da mae dele

com o povo escancarando informações pessoais hoje em dia … não é necessario nem engenharia social para garimpar dados. e usar contra as pessoas.

Dica, exiba o minimo de informações sobre vc no orkut

A gente usa SecurID aqui no trampo pra ter acesso a VPN da empresa e a todos os sites da intranet. Combinado com uma frase-chave, eh uma das opcoes mais seguras possiveis na pratica, pq pega sua identidade de 2 maneiras diferentes (usando o que vc sabe - a senha - e o que vc tem - o token). Melhor que isso, so adicionando alguma forma de checagem biometrica, mas pra nos isso ta meio fora de questao (ou alguem sabe de notebooks Dell que ja vem com leitores biometricos embutidos? :))

Nao necessariamente… da pra usar, claro, e fazer uma frescurinha, mas da pra fazer isso de forma extremamente acessivel. Imagens e graficos nao sao problema de acessibilidade ou usabilidade quando vc define alternativas text-only plausiveis (com atributos “alt” e “title”, por exemplo)

E eu nao entendo pq eu eh que tenho que virar o rato de laboratorio aqui, mas ta, de fato, nao recomendado quando usado sozinho, e quando usado em conjunto com outras tecnicas nao oferece la muita seguranca adicional.

Relaxa Carlos, é um exemplo simples. Mas o mais importante é esconder ao máximo as informações, embora não seja possível hoje em dia.
Pelo fato de ter orkut, de ter blog, fotologs, entre outros.

Concordo com vc Fernando.

Vou é me especializar em segurança com a CIA, FBI. Sinistro a coisa está feia por aí.

Abração galera. qq coisa estamos aí.

rodrigo.achilles:

Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!

Olha, mais um frequentador do McDonald’s :lol:

Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.

Shoes

Opá como assim keylogger, me explica melhor isso…
Coisas de hackers, gosto disso. :lol:

Um abraço pcalcado.

pcalcado:

rodrigo.achilles:

Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!

Olha, mais um frequentador do McDonald’s :lol:

Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.

Shoes

affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela? aff, sinceramente hein meu amigo. teclado virtual é a forma mais segura de evitar fraudes por trojans e outros spywares?

Relaxa Carlos, é um exemplo simples. Mas o mais importante é esconder ao máximo as informações, embora não seja possível hoje em dia.
Pelo fato de ter orkut, de ter blog, fotologs, entre outros.

Concordo com vc Fernando.

Vou é me especializar em segurança com a CIA, FBI. Sinistro a coisa está feia por aí.

Abração galera. qq coisa estamos aí.

por mais que se faça isso, se não for utilizado alguma rtefato que dificulte a captura dos dados por algum spyware, isso não vale de nada.

A estratégia é colocar um teclado virtual, impossibilitar o usuário de digitar dados no teclado, forçá-lo a utilziar o mouse. Colocar o teclado em posições diferentes da tela a cada acesso, embaralhar as teclas e esconder as mesmas durante a escolha das opções.

Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze). Se ele nao capturar o que foi digitado no teclado, pode capturar a sequencia de movimentos do mouse, ou ate mesmo tirar um screenshot a cada clique ou tecla pressionada. Nesse caso, tanto um teclado virtual quanto um real sao inuteis. No caso dos SecurIDs que eu mencionei antes nessa mesma thread, mesmo que os dados sejam capturados, eles nao vao servir pra mais nada daqui, no maximo, 60 segundos.

Como disse antes, isso nao resolve nada se o spyware capturar a tela e os movimentos do mouse, e dificulta enormemente o uso da aplicacao por qualquer um que nao tenha visao e movimentos em perfeito estado (quer se convencer disso? Pegue o oculos de 3 graus e pouco de algum amigo, ou tire os seus, e tente usar um teclado virtual num touchpad com os dedos molhados - se vc nao conseguir se logar na aplicacao em menos de 1 minuto, entenda que vc, essencialmente, falhou).

De novo: teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.

mtroyap:

affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela?

O “hacker” em questao nao precisa ir ate a sua casa. Ele pode muito bem estar num internet cafe, ou no cubiculo mais proximo. Pode ser algum parente ou amigo, inclusive. Alem do que, como mencionei na resposta anterior, ele pode muito bem estar usando um keylogger que tire screenshot da area proxima aos cliques.

Nao, nao eh. Leia os outros posts nesta thread (inclusive os que eu escrevi antes do seu).

Vou dar os meus $.2 cents para apimentar

Se o cliente quiser pagar pela leitora, pelo smartcard e pelo certificado… mesmo assim só quando a ICP Brasil deslanchar.

O floppy não é nenhuma maravilha (8)), mas considere as opções:
Usando o provider padrão do windows (rsa basic ou enhanced) tanto o certificado (esse que vc pagou a uma CA para assinar) quanto a chave privada vão para a registry (nos wink2+, para o “protected storage”), ou seja, se a máquina morrer (windows, sabe como é…) vc perde o certificado e tem que pagar de novo. Se vc marcar a chave como “exportável” qualquer processo que esteja rodando sob a conta do usuário pode exportar (roubar) a chave da registry. Marcar para avisar a cada uso da chave privada, implica em vários “, eu desejo usar minha chave privada”, e todos sabemos como o usuário médio reage a isso: “Não me avisar mais desta dialog box”.
No mozilla (win ou linux) é parecido: vc troca a registry pelo home dir do usuário, e o formato do repositório é “proprietário” (mas documentado -> berkely db)

A idéia do floppy é “simular” um smartcard usando como “token” o próprio disquete, preferencialmente usando formatos padronizados tipo pkcs#8, pkcs#12 ou pkcs#15 por exemplo. É perfeita ? claro que não! É melhor do que o provider padrão ? na teoria, vc pode levar o disco c/ vc da mesma maneira como o smart. Claro, qualquer um pode listar o conteúdo do mesmo, tal qual a área pública do smartcard, mas (dependo da implementação) no caso do floppy, vc poderia dar senhas diferentes para diferentes pares de chave enquanto em muitos smarts vc só tem a senha de “login” do token - uma senha quebrada não significa todas.

A principal desvantagem é que o floppy permite que seja feita uma cópia, e a partir desta seja conduzida uma força-bruta offline. O outro lado da equação é o custo: o floppy é barato e todos os desktops (ainda) possuem pelo menos uma unidade de disquetes, e muitos laptops tb.
Existe um outro porém, pelo menos para as estatais, é que o governo não pode obrigar vc a comprar algo para vc pagar ao governo. Por exemplo, o programa de declaração da receita não pode funcionar apenas com smartcards, pois neste caso a receita estaria obrigrando vc a comprar a leitora/smart para pagar um imposto => ou a receita dá o necessário ou ela flexibiliza o requisito de segurança. Nestas condições o disquete já não tão ruim… mas o Bradesco não é uma estatal…

ps - não sou funcionário público :!:

Seu nick já explicou tudo! :mrgreen:

cv:

mtroyap:

affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela?

O “hacker” em questao nao precisa ir ate a sua casa. Ele pode muito bem estar num internet cafe, ou no cubiculo mais proximo. Pode ser algum parente ou amigo, inclusive. Alem do que, como mencionei na resposta anterior, ele pode muito bem estar usando um keylogger que tire screenshot da area proxima aos cliques.

Nao, nao eh. Leia os outros posts nesta thread (inclusive os que eu escrevi antes do seu).

pelo amor de Deus. Não percebes que meu posto foi irônico, com relação ao post do amigo lá em cima?

pcalcado:

rodrigo.achilles:

Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor!

Olha, mais um frequentador do McDonald’s :lol:

Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.

Shoes

cv:

Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze).

eu não falei IMPOSSIBILITAR, falei DIFICULTAR.

cv:

preze). Se ele nao capturar o que foi digitado no teclado, pode capturar a sequencia de movimentos do mouse, ou ate mesmo tirar um screenshot a cada clique ou tecla pressionada. Nesse caso, tanto um teclado virtual quanto um real sao inuteis.

Isso não é nenhuma novidade, amigo, aí é que está a questão do uso de bons teclados virtuais. Qualquer um que conheça teclados virtuais sabe que eles utilizam artefatos como piscar na hora do clique, exibir asteriscos no lugar dos numeros enquanto o mouse está na área de teclas (exigindo, claro, que o usuário memorize os números antes). além disso, há o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros.

cv:

Como disse antes, isso nao resolve nada se o spyware capturar a tela e os movimentos do mouse, e dificulta enormemente o uso da aplicacao por qualquer um que nao tenha visao e movimentos em perfeito estado (quer se convencer disso? Pegue o oculos de 3 graus e pouco de algum amigo, ou tire os seus, e tente usar um teclado virtual num touchpad com os dedos molhados - se vc nao conseguir se logar na aplicacao em menos de 1 minuto, entenda que vc, essencialmente, falhou).

Aff, se uma pessoa precisa usar óculos, é óbvio que ela precisa estar de óculos pra fazer qualquer coisa. Se alguém não precisa usar óculos, usá-lo atrapalharia em qualquer situação. Ninguém consegue fazer nada com um touchpad com os dedos molhados de forma decente. que imbecilidade

Uma pessoa nesse estado provavelmente nem conseguiria acessar um site qualquer que seja. Te digo que menos de 10% dos sites levam em conta questões de acessibilidade.

Quanto ao securID, concordo que o uso de tokens, smart cards e outros artefatos realmente aumenta a segurança, mas perceba, isso não torna nula a possibilidade de ataque por spywares e trojans. As ferramentas de ataque evoluem com a tecnologia. Aliás, ferramentas de ataque são as responsáveis pela evolução da segurança em TI. Quanto mais segurança for oferecida ao usuário, melhor.

cv:

teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.

então todos os sistemas bancários e outros estão errados e tu estás certo? tá legal, amigo

mtroyap:

cv:

Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze).

eu não falei IMPOSSIBILITAR, falei DIFICULTAR.

Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam.

Teclados virtuais, por melhor que sejam, continuam sendo inuteis quando um spyware captura os movimentos do mouse, teclado e areas da tela. Nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos.

E, exatamente o que vc quer dizer com “o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros”, e o que isso tem a ver com teclados virtuais?

Eu sugeri fazer isso como um experimento, pra tentar entender melhor pelo que uma pessoa com problemas motores ou visuais de verdade tem que passar. Leia de novo meu post, pq vc provavelmente nao entendeu, ou esta querendo arrumar qualquer coisa pra detonar o meu argumento e nao ta conseguindo.

E desde quando “ninguem faz o que eh certo” eh motivo pra nao fazer? Provavelmente, menos de 10% das calcadas de SP tem guias rebaixadas para acesso a quem anda de cadeira de rodas, e te digo que 100% das pessoas que precisam dessas guias pra se locomover estao ou furiosas ou frustradas. Eh soh se dar conta de que, num site, pessoas com dificuldades visuais ou motoras serao parte da sua clientela, e vc estara essencialmente impossibilitando o uso do seu site a elas quando vc colocar um teclado virtual ali. Alem, eh claro, de dificultar o acesso pra todo o resto da sua clientela saudavel, por diversos motivos que eu ja mencionei antes.

Nao existe ataque a SecurIDs que nao envolva tomar posse fisica do SecurID do dono e saber a outra parte da senha que eh necessaria. Me explica, exatamente, como um trojan ou spyware vai conseguir isso, e eu ate acredito que vc saiba do que esta falando. Do contrario, peco que vc pare de postar nessa thread.

Exato. E oferecer um teclado virtual aos usuarios soh oferece uma falsa sensacao de seguranca pra alguns, impossibilita o uso do site para outros, e incomoda todos.

então todos os sistemas bancários e outros estão errados e tu estás certo? tá legal, amigo

Sim, eu estou certo. E, sinto muito, voce nao eh meu amigo.

cv:

Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam. ;)

Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.

O algoritmo RSA é o algoritmo que deu origem à rsa, é famoso algoritmo de criptografia com chaves baseadas em números primos. Tudo que a RSA faz tem como princípio este algoritmo, tem a padronização do algoritmo de criptografia no site deles, se tiver curiosidade, vai lá olhar. Trata-se de criptografar as senhas antes mesmo que o browser o faça, pois alguns spywares podem capturar dados antes que o browser os criptografe para envio.

cv:

Eu sugeri fazer isso como um experimento, pra tentar entender melhor pelo que uma pessoa com problemas motores ou visuais de verdade tem que passar. Leia de novo meu post, pq vc provavelmente nao entendeu, ou esta querendo arrumar qualquer coisa pra detonar o meu argumento e nao ta conseguindo. ;)

Certo. Me diz um banco, um único banco sequer que não use teclado virtual. De todos que conheço, não há um único que não use. Até mesmo o itaú usa um em javascript. Nesse caso, os deficientes estão 100% fora do sistema bancário. Implantar as soluções sigeridas por ti envolve gastos talvez gigantescos, isto é inviável. Às vezes é melhor ter condições de 100% de disponibilidade para 90% do publico do que 20% de disponibilidade para 100%, pense nisto.

cv:

Nao existe ataque a SecurIDs que nao envolva tomar posse fisica do SecurID do dono e saber a outra parte da senha que eh necessaria. Me explica, exatamente, como um trojan ou spyware vai conseguir isso, e eu ate acredito que vc saiba do que esta falando. Do contrario, peco que vc pare de postar nessa thread.

Então me diz, me diz como posso implementar um internetbanking seguro hoje, imediatamente, sem precisar gastar milhões de reais que não estão disponíveis ? seja realista!

cv:

Sim, eu estou certo. E, sinto muito, voce nao eh meu amigo.

mtroyap:

cv:

Teclados virtuais, por melhor que sejam, continuam sendo inuteis quando um spyware captura os movimentos do mouse, teclado e areas da tela. Nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos.

Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.

Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.

mtroyap:

Ou tu faz um site funcional ou tu faz um site acessível. Permitir digitação é permitir que um hacker possa ter posse de pelo menos 50% da informação, isso não torna nula a chance de ele conseguir os outros 50%.
Se alguém roubar teu smart card ou o token device?

Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.

BankBoston. E, se mais um exemplo mais direto ajudar a provar o quanto vc esta enganado, https://welcome9.smile.co.uk/SmileWeb/start.do

Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.

mtroyap:

cv:

Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam. ;)

Entenda uma coisa, nada impossibilita ataques, sempre aparece algo que torna a segurança vulnerável. Espera pra ver.

Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.

Nada impossibilita ataques. É claro. Mas acho importante que o objetivo de qualquer esquema de segurança seja um nível de segurança que não é viavel quebrar com os recursos de hoje.

Confesso que nunca usei um teclado virtual, mas pelo que li aqui parece ser um erro no jeito de pensar sobre a segurança. É até super interessante tentar usar a criatividade e tentar pensar em jeitos criativos de conseguir segurança, mas eu acho esse tipo de abordagem muito suspeito. Cada recurso usado se concentra em desabilitar um tipo de ataque ou os ataques que já foram implementados, e é trivial pensar em mais um ataque. É incompetência da parte de quem ataca se o ataque falhar simplesmente por causa do usuário usar um teclado virtual. Na minha opinião.

Do livro The art of intrusion:

Eu aceito qualquer amizade nova, até com pessoas que não concordam comigo

[]s,
Sami

cv:

Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.

Se é pra ter um site acessível, então que se tenha adecência de disponibilizar um site especialmente feito para pessoas com necessidades e um site normal. Assim se pode atender a todos tipos de público. Eu já trabalhei desenvolvendo software de acessibilidade, ok. Já fiz sites pra cegos esei que não é possível ter um site acessível e bonito ao mesmo tempo. Um site realmente acessível não pode ter nem sequer javascript. tem que ser purinho, texto, com rótulos em todos objetos, mas isto é outro assunto.

cv:

Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.

O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o ‘componente de segurança’ que ele instala para efetuar transações

o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?

cv:

Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.

O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o ‘componente de segurança’ que ele instala para efetuar transações

o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?

Sim, e eu sou correntista do Boston. O tal do “componente de seguranca” eh tao seguro que me impede ateh de usar o meu Mac pra acessar a minha conta. :XD: Mas, se vc queria um exemplo de banco que nao usa teclado virtual, o BankBoston eh um deles.

O Smile eh outro banco em que eu tenho conta aqui no Reino Unido. 100% online, menor numero de casos de fraude ou roubo de identidade do pais, e, veja so, nao usa teclado virtual.

mtroyap:

cv:

Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.

muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto

Se voce pode obrigar o correntista a usar um cartao de plastico pra pagar coisas no supermercado, pq vc nao pode dizer pra ele “ei, se vc quiser usar o internet banking a partir do dia tal, agora vc vai ter que comprar o SecurID, ou so vai ter acesso pra consultas. A entrega de cada SecurID sai por apenas $25, e voce pode parcelar se quiser - pense na conveniencia e seguranca de saber que nunca vai ter problemas com roubo de identidade, e de quebra o seu banco fica mais facil de usar!”

O preco de reposicao de um SecurID eh USD 70, aproximadamente, e eu nao sei qual o preco de venda, mas com certeza se chega um BB da vida na porta da RSA e diz que vai precisar de uns milhoes, o preco cai de forma BASTANTE consideravel.

Olá pessoal,

Eu precisava de um teclado virtual pra colocar no sistema que estou desenvolvendo. Tem que ser que nem o do Internet Banking da Caixa Econômica.

Até consegui entrar na tela onde mostra o teclado virtual, mas não consigo pegar o código (html, javascript). Quando tento fazer o “Salvar como” do browser salva uma página em branco. Aquele teclado é feito em javascript ou é um Applet?

Alguém saberia onde consigo um teclado igual a esse da Caixa ou como faço para pegar o código da página do Internet Banking?

Valeu!

1. É um applet
2. Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o “altamente seguro” Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
   (Nesse ponto o Firefox não é adequado, a menos que você use a extension “Web Developer”).
3. Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
   Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
   As falhas mais óbvias:

• Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a “key loggers”.
• O campo “password” usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
• Se você clicar em uma “tecla”, ele deveria apagar o teclado inteiro momentaneamente para evitar os “screen loggers”.

Tentei ver no Temporary Internet Files usando Internet Explorer mas não achei muita coisa não. O que seria essa extensão “Web Developer” do Firefox? Tem que comprar? Com ela eu consigo chupinzar o código da página?

Apesar do applet atual ter as falhas de segurança que você apontou eu queria usar do jeito que está mesmo.

Valeu!

1. Você não precisa comprar o Web Developer.

https://addons.mozilla.org/firefox/60/

2. Se você olhar o tal do applet vai ver que é chato até para chamá-lo - se não me engano, os parâmetros são criptografados. É melhor fazer o seu. Não é excessivamente difícil.)

1) É um applet
2) Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o “altamente seguro” Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension “Web Developer”).
3) Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:

• Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a “key loggers”.
• O campo “password” usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
• Se você clicar em uma “tecla”, ele deveria apagar o teclado inteiro momentaneamente para evitar os “screen loggers”.
  

Acho que não lançaram um teclado open-source porque ele, em resumo, é só uma forma de fazer com que o usuário se sinta seguro pela dificuldade em usá-lo.
Na verdade ele não protege contra quase nada.
E é por isso que você só vê implementações pagas; porque o próprio conceito é “furado”.
Esteja à vontade para criar o seu - é fácil; nada mais que uma aplicação AWT normal, que usa a biblioteca netscape.javascript.* (LiveConnect) para passar alguns valores para o browser.

Se tratando de segurança, vi algo incrivelmente bem bolado, mas depende muito de recursos de infra. Mas está aí a idéia.
Era um sistema que quando você loga, e isto deduz que você seja cadastrado corretamente, então o sistema gera um código de 5 a 7 caracteres e envia o código para o celular via sms.
Então os processos são:

• Login;
• Gera o código;
• Envia para o celular;
• Redireciona o usuário para outra tela aguardando o usuário digitar a “senha” recebida por sms.

Achei muito bem bolado.

Teve uma outra usando hash que achei bem legal também, mas é uma outra história.

Desculpem a intromissão.

Att,

McLuck