Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze). Se ele nao capturar o que foi digitado no teclado, pode capturar a sequencia de movimentos do mouse, ou ate mesmo tirar um screenshot a cada clique ou tecla pressionada. Nesse caso, tanto um teclado virtual quanto um real sao inuteis. No caso dos SecurIDs que eu mencionei antes nessa mesma thread, mesmo que os dados sejam capturados, eles nao vao servir pra mais nada daqui, no maximo, 60 segundos.
Como disse antes, isso nao resolve nada se o spyware capturar a tela e os movimentos do mouse, e dificulta enormemente o uso da aplicacao por qualquer um que nao tenha visao e movimentos em perfeito estado (quer se convencer disso? Pegue o oculos de 3 graus e pouco de algum amigo, ou tire os seus, e tente usar um teclado virtual num touchpad com os dedos molhados - se vc nao conseguir se logar na aplicacao em menos de 1 minuto, entenda que vc, essencialmente, falhou).
De novo: teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.
[quote=mtroyap]affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela?[/quote]
O “hacker” em questao nao precisa ir ate a sua casa. Ele pode muito bem estar num internet cafe, ou no cubiculo mais proximo. Pode ser algum parente ou amigo, inclusive. Alem do que, como mencionei na resposta anterior, ele pode muito bem estar usando um keylogger que tire screenshot da area proxima aos cliques.
Nao, nao eh. Leia os outros posts nesta thread (inclusive os que eu escrevi antes do seu).
Se o cliente quiser pagar pela leitora, pelo smartcard e pelo certificado… mesmo assim só quando a ICP Brasil deslanchar.
O floppy não é nenhuma maravilha (8)), mas considere as opções:
Usando o provider padrão do windows (rsa basic ou enhanced) tanto o certificado (esse que vc pagou a uma CA para assinar) quanto a chave privada vão para a registry (nos wink2+, para o “protected storage”), ou seja, se a máquina morrer (windows, sabe como é…) vc perde o certificado e tem que pagar de novo. Se vc marcar a chave como “exportável” qualquer processo que esteja rodando sob a conta do usuário pode exportar (roubar) a chave da registry. Marcar para avisar a cada uso da chave privada, implica em vários “, eu desejo usar minha chave privada”, e todos sabemos como o usuário médio reage a isso: “Não me avisar mais desta dialog box”.
No mozilla (win ou linux) é parecido: vc troca a registry pelo home dir do usuário, e o formato do repositório é “proprietário” (mas documentado -> berkely db)
A idéia do floppy é “simular” um smartcard usando como “token” o próprio disquete, preferencialmente usando formatos padronizados tipo pkcs#8, pkcs#12 ou pkcs#15 por exemplo. É perfeita ? claro que não! É melhor do que o provider padrão ? na teoria, vc pode levar o disco c/ vc da mesma maneira como o smart. Claro, qualquer um pode listar o conteúdo do mesmo, tal qual a área pública do smartcard, mas (dependo da implementação) no caso do floppy, vc poderia dar senhas diferentes para diferentes pares de chave enquanto em muitos smarts vc só tem a senha de “login” do token - uma senha quebrada não significa todas.
A principal desvantagem é que o floppy permite que seja feita uma cópia, e a partir desta seja conduzida uma força-bruta offline. O outro lado da equação é o custo: o floppy é barato e todos os desktops (ainda) possuem pelo menos uma unidade de disquetes, e muitos laptops tb.
Existe um outro porém, pelo menos para as estatais, é que o governo não pode obrigar vc a comprar algo para vc pagar ao governo. Por exemplo, o programa de declaração da receita não pode funcionar apenas com smartcards, pois neste caso a receita estaria obrigrando vc a comprar a leitora/smart para pagar um imposto => ou a receita dá o necessário ou ela flexibiliza o requisito de segurança. Nestas condições o disquete já não tão ruim… mas o Bradesco não é uma estatal…
[quote=cv][quote=mtroyap]affff
quer dizer que é mais facil pra algum hacker ir até tua casa e ficar atrás de ti, olhando tu digitar tua senha do que instalar um logger de teclado ou captura de tela?[/quote]
O “hacker” em questao nao precisa ir ate a sua casa. Ele pode muito bem estar num internet cafe, ou no cubiculo mais proximo. Pode ser algum parente ou amigo, inclusive. Alem do que, como mencionei na resposta anterior, ele pode muito bem estar usando um keylogger que tire screenshot da area proxima aos cliques.
Nao, nao eh. Leia os outros posts nesta thread (inclusive os que eu escrevi antes do seu).[/quote]
pelo amor de Deus. Não percebes que meu posto foi irônico, com relação ao post do amigo lá em cima?
[quote=pcalcado][quote=rodrigo.achilles] Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe
Embora JavaScript não tem nada de Java. Se falei besteira, me corrijam por favor! [/quote]
Olha, mais um frequentador do McDonald’s :lol:
Eu, como usuário, ODEIO esse teclado ridículo. É muito mais fácil ver a senha desse jeito do que se eu digitasse. Emv ez de isntalar um keylogger, basta ficar atrás da pessoa.
[quote=cv]
Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze).[/quote]
eu não falei IMPOSSIBILITAR, falei DIFICULTAR.
[quote=cv]
preze). Se ele nao capturar o que foi digitado no teclado, pode capturar a sequencia de movimentos do mouse, ou ate mesmo tirar um screenshot a cada clique ou tecla pressionada. Nesse caso, tanto um teclado virtual quanto um real sao inuteis. [/quote]
Isso não é nenhuma novidade, amigo, aí é que está a questão do uso de bons teclados virtuais. Qualquer um que conheça teclados virtuais sabe que eles utilizam artefatos como piscar na hora do clique, exibir asteriscos no lugar dos numeros enquanto o mouse está na área de teclas (exigindo, claro, que o usuário memorize os números antes). além disso, há o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros.
[quote=cv]
Como disse antes, isso nao resolve nada se o spyware capturar a tela e os movimentos do mouse, e dificulta enormemente o uso da aplicacao por qualquer um que nao tenha visao e movimentos em perfeito estado (quer se convencer disso? Pegue o oculos de 3 graus e pouco de algum amigo, ou tire os seus, e tente usar um teclado virtual num touchpad com os dedos molhados - se vc nao conseguir se logar na aplicacao em menos de 1 minuto, entenda que vc, essencialmente, falhou).[/quote]
Aff, se uma pessoa precisa usar óculos, é óbvio que ela precisa estar de óculos pra fazer qualquer coisa. Se alguém não precisa usar óculos, usá-lo atrapalharia em qualquer situação. Ninguém consegue fazer nada com um touchpad com os dedos molhados de forma decente. que imbecilidade
Uma pessoa nesse estado provavelmente nem conseguiria acessar um site qualquer que seja. Te digo que menos de 10% dos sites levam em conta questões de acessibilidade.
Quanto ao securID, concordo que o uso de tokens, smart cards e outros artefatos realmente aumenta a segurança, mas perceba, isso não torna nula a possibilidade de ataque por spywares e trojans. As ferramentas de ataque evoluem com a tecnologia. Aliás, ferramentas de ataque são as responsáveis pela evolução da segurança em TI. Quanto mais segurança for oferecida ao usuário, melhor.
[quote=cv]
teclados virtuais sao uma maneira 100% garantida de irritar seus usuarios e mostrar o quanto voce se preocupa em tornar a vida mais dificil pra eles, e nao tornam a sua aplicacao mais segura. Enquanto alguns dos usuarios vao entender que eh tudo em nome da seguranca, e pacientemente aguentar a sua incompetencia em prover um sistema usavel, outros irao procurar alguma coisa melhor.[/quote]
então todos os sistemas bancários e outros estão errados e tu estás certo? tá legal, amigo
[quote=mtroyap][quote=cv]
Nao existem artefatos que impossibilitem a captura de dados em um computador por aplicacoes que estao rodando com nivel de permissao maximo (ou seja, praticamente qualquer spyware que se preze).[/quote]
eu não falei IMPOSSIBILITAR, falei DIFICULTAR.[/quote]
Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam.
Teclados virtuais, por melhor que sejam, continuam sendo inuteis quando um spyware captura os movimentos do mouse, teclado e areas da tela. Nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos.
E, exatamente o que vc quer dizer com “o uso do algoritmo RSA (chave assimétrica) para criptografia dos dados, entre outros”, e o que isso tem a ver com teclados virtuais?
Eu sugeri fazer isso como um experimento, pra tentar entender melhor pelo que uma pessoa com problemas motores ou visuais de verdade tem que passar. Leia de novo meu post, pq vc provavelmente nao entendeu, ou esta querendo arrumar qualquer coisa pra detonar o meu argumento e nao ta conseguindo.
E desde quando “ninguem faz o que eh certo” eh motivo pra nao fazer? Provavelmente, menos de 10% das calcadas de SP tem guias rebaixadas para acesso a quem anda de cadeira de rodas, e te digo que 100% das pessoas que precisam dessas guias pra se locomover estao ou furiosas ou frustradas. Eh soh se dar conta de que, num site, pessoas com dificuldades visuais ou motoras serao parte da sua clientela, e vc estara essencialmente impossibilitando o uso do seu site a elas quando vc colocar um teclado virtual ali. Alem, eh claro, de dificultar o acesso pra todo o resto da sua clientela saudavel, por diversos motivos que eu ja mencionei antes.
Nao existe ataque a SecurIDs que nao envolva tomar posse fisica do SecurID do dono e saber a outra parte da senha que eh necessaria. Me explica, exatamente, como um trojan ou spyware vai conseguir isso, e eu ate acredito que vc saiba do que esta falando. Do contrario, peco que vc pare de postar nessa thread.
Exato. E oferecer um teclado virtual aos usuarios soh oferece uma falsa sensacao de seguranca pra alguns, impossibilita o uso do site para outros, e incomoda todos.
então todos os sistemas bancários e outros estão errados e tu estás certo? tá legal, amigo[/quote]
Sim, eu estou certo. E, sinto muito, voce nao eh meu amigo.
[quote=cv]
Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam. ;)[/quote]
Entenda uma coisa, nada impossibilita ataques, sempre aparece algo que torna a segurança vulnerável. Espera pra ver.
Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.
O algoritmo RSA é o algoritmo que deu origem à rsa, é famoso algoritmo de criptografia com chaves baseadas em números primos. Tudo que a RSA faz tem como princípio este algoritmo, tem a padronização do algoritmo de criptografia no site deles, se tiver curiosidade, vai lá olhar. Trata-se de criptografar as senhas antes mesmo que o browser o faça, pois alguns spywares podem capturar dados antes que o browser os criptografe para envio.
[quote=cv]
Eu sugeri fazer isso como um experimento, pra tentar entender melhor pelo que uma pessoa com problemas motores ou visuais de verdade tem que passar. Leia de novo meu post, pq vc provavelmente nao entendeu, ou esta querendo arrumar qualquer coisa pra detonar o meu argumento e nao ta conseguindo. ;)[/quote]
Não to conseguindo??? ou tu faz um site funcional ou tu faz um site acessível. Permitir digitação é permitir que um hacker possa ter posse de pelo menos 50% da informação, isso não torna nula a chance de ele conseguir os outros 50%.
Se alguém roubar teu smart card ou o token device?
Certo. Me diz um banco, um único banco sequer que não use teclado virtual. De todos que conheço, não há um único que não use. Até mesmo o itaú usa um em javascript. Nesse caso, os deficientes estão 100% fora do sistema bancário. Implantar as soluções sigeridas por ti envolve gastos talvez gigantescos, isto é inviável. Às vezes é melhor ter condições de 100% de disponibilidade para 90% do publico do que 20% de disponibilidade para 100%, pense nisto.
[quote=cv]
Nao existe ataque a SecurIDs que nao envolva tomar posse fisica do SecurID do dono e saber a outra parte da senha que eh necessaria. Me explica, exatamente, como um trojan ou spyware vai conseguir isso, e eu ate acredito que vc saiba do que esta falando. Do contrario, peco que vc pare de postar nessa thread.[/quote]
Não vou entrar no mérito do securID. Desconheço qualquer forma que possibilite ataque para descobrir senhas geradas por securID, até pq os tokens expiram. Mas pense comigo, algum dia isso pode acontecer . Já pensou se algum dia alguém consegue descobrir uma fórmula matemática que diga se um número é primo? que sirva para qualquer número primo? Assim poderá ser possível descobrir quais números primos geraram um produto (multiplicacao). Isso acabaria com o alicerce da maioria dos sistemas de criptografia.
Então me diz, me diz como posso implementar um internetbanking seguro hoje, imediatamente, sem precisar gastar milhões de reais que não estão disponíveis ? seja realista!
[quote=cv]
Sim, eu estou certo. E, sinto muito, voce nao eh meu amigo.[/quote]
então tá. se tu diz vou acreditar em ti. É uma pena, queria tanto tua sábia amizade.
[quote=mtroyap][quote=cv]Teclados virtuais, por melhor que sejam, continuam sendo inuteis quando um spyware captura os movimentos do mouse, teclado e areas da tela. Nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos.
[/quote]
Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.[/quote]
Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.
[quote=mtroyap]Ou tu faz um site funcional ou tu faz um site acessível. Permitir digitação é permitir que um hacker possa ter posse de pelo menos 50% da informação, isso não torna nula a chance de ele conseguir os outros 50%.
Se alguém roubar teu smart card ou o token device?[/quote]
Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.
[quote=mtroyap][quote=cv]
Entao, nao serve pra nada. As solucoes que eu sugeri impossibilitam. ;)[/quote]
Entenda uma coisa, nada impossibilita ataques, sempre aparece algo que torna a segurança vulnerável. Espera pra ver.
Está errado, depende de como é feito o teclado virtual, é só usar a criatividade. Se puder, dá uma olhada no do unibanco, por exemplo.
[/quote]
Nada impossibilita ataques. É claro. Mas acho importante que o objetivo de qualquer esquema de segurança seja um nível de segurança que não é viavel quebrar com os recursos de hoje.
Confesso que nunca usei um teclado virtual, mas pelo que li aqui parece ser um erro no jeito de pensar sobre a segurança. É até super interessante tentar usar a criatividade e tentar pensar em jeitos criativos de conseguir segurança, mas eu acho esse tipo de abordagem muito suspeito. Cada recurso usado se concentra em desabilitar um tipo de ataque ou os ataques que já foram implementados, e é trivial pensar em mais um ataque. É incompetência da parte de quem ataca se o ataque falhar simplesmente por causa do usuário usar um teclado virtual. Na minha opinião.
[quote=cv]
Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.[/quote]
Esta é uma opinião tua a respeito dos teclados e nem vale a pena discutir. Não me interessa se tu acha ruins ou não. Nas circunstâncias atuais é a melhor solução. É com certeza melhor do que deixar um usuário exposto à ação de keylogers.
Se é pra ter um site acessível, então que se tenha adecência de disponibilizar um site especialmente feito para pessoas com necessidades e um site normal. Assim se pode atender a todos tipos de público. Eu já trabalhei desenvolvendo software de acessibilidade, ok. Já fiz sites pra cegos esei que não é possível ter um site acessível e bonito ao mesmo tempo. Um site realmente acessível não pode ter nem sequer javascript. tem que ser purinho, texto, com rótulos em todos objetos, mas isto é outro assunto.
[quote=cv]
Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.[/quote]
quem tem 50% da informação precisa buscar somente os 50% restantes. Se quer trabalhar com segurança teu pensamento tem que ser pessimista, e não otimista.
O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o ‘componente de segurança’ que ele instala para efetuar transações
o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?
[quote=cv]
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.[/quote]
muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto
O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o ‘componente de segurança’ que ele instala para efetuar transações
o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?[/quote]
Sim, e eu sou correntista do Boston. O tal do “componente de seguranca” eh tao seguro que me impede ateh de usar o meu Mac pra acessar a minha conta. :XD: Mas, se vc queria um exemplo de banco que nao usa teclado virtual, o BankBoston eh um deles.
O Smile eh outro banco em que eu tenho conta aqui no Reino Unido. 100% online, menor numero de casos de fraude ou roubo de identidade do pais, e, veja so, nao usa teclado virtual.
[quote=mtroyap][quote=cv]
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.[/quote]
muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto[/quote]
Se voce pode obrigar o correntista a usar um cartao de plastico pra pagar coisas no supermercado, pq vc nao pode dizer pra ele “ei, se vc quiser usar o internet banking a partir do dia tal, agora vc vai ter que comprar o SecurID, ou so vai ter acesso pra consultas. A entrega de cada SecurID sai por apenas $25, e voce pode parcelar se quiser - pense na conveniencia e seguranca de saber que nunca vai ter problemas com roubo de identidade, e de quebra o seu banco fica mais facil de usar!”
O preco de reposicao de um SecurID eh USD 70, aproximadamente, e eu nao sei qual o preco de venda, mas com certeza se chega um BB da vida na porta da RSA e diz que vai precisar de uns milhoes, o preco cai de forma BASTANTE consideravel.
Eu precisava de um teclado virtual pra colocar no sistema que estou desenvolvendo. Tem que ser que nem o do Internet Banking da Caixa Econômica.
Até consegui entrar na tela onde mostra o teclado virtual, mas não consigo pegar o código (html, javascript). Quando tento fazer o “Salvar como” do browser salva uma página em branco. Aquele teclado é feito em javascript ou é um Applet?
Alguém saberia onde consigo um teclado igual a esse da Caixa ou como faço para pegar o código da página do Internet Banking?
Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o “altamente seguro” Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension “Web Developer”).
Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:
Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a “key loggers”.
O campo “password” usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
Se você clicar em uma “tecla”, ele deveria apagar o teclado inteiro momentaneamente para evitar os “screen loggers”.
Tentei ver no Temporary Internet Files usando Internet Explorer mas não achei muita coisa não. O que seria essa extensão “Web Developer” do Firefox? Tem que comprar? Com ela eu consigo chupinzar o código da página?
Apesar do applet atual ter as falhas de segurança que você apontou eu queria usar do jeito que está mesmo.
Se você olhar o tal do applet vai ver que é chato até para chamá-lo - se não me engano, os parâmetros são criptografados. É melhor fazer o seu. Não é excessivamente difícil.)
[quote]1) É um applet
2) Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o “altamente seguro” Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension “Web Developer”).
3) Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:
Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a “key loggers”.
O campo “password” usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
Se você clicar em uma “tecla”, ele deveria apagar o teclado inteiro momentaneamente para evitar os “screen loggers”.
[/quote]
Incrível como até hoje ninguém lançou um tecladinho virtual OSource com todos esses detalhes citados por você.
Acho que não lançaram um teclado open-source porque ele, em resumo, é só uma forma de fazer com que o usuário se sinta seguro pela dificuldade em usá-lo.
Na verdade ele não protege contra quase nada.
E é por isso que você só vê implementações pagas; porque o próprio conceito é “furado”.
Esteja à vontade para criar o seu - é fácil; nada mais que uma aplicação AWT normal, que usa a biblioteca netscape.javascript.* (LiveConnect) para passar alguns valores para o browser.
Se tratando de segurança, vi algo incrivelmente bem bolado, mas depende muito de recursos de infra. Mas está aí a idéia.
Era um sistema que quando você loga, e isto deduz que você seja cadastrado corretamente, então o sistema gera um código de 5 a 7 caracteres e envia o código para o celular via sms.
Então os processos são:
Login;
Gera o código;
Envia para o celular;
Redireciona o usuário para outra tela aguardando o usuário digitar a “senha” recebida por sms.
Achei muito bem bolado.
Teve uma outra usando hash que achei bem legal também, mas é uma outra história.
Acabei de pegar o Teclado Virtual em JavaScript da Universidade Estácio de Sá(minha facult.). hehehe