Duas URLs para vocês que querem tecladinhos virtuais:
:arrow: http://www.useit.com/
:arrow: http://www.designbyfire.com/
Não! Não são implementações de tecladinhos. São dois sites de HCI (Human-Computer Interaction) que dão dicas e guidelines de como implementar interfaces com usuário realmente boas e produtivas. E, pasmem, tecladinhos virtuais não se encaixam como boas práticas de design 
Estas URLs também são válidas para os clientes que querem estes tecladinhos virtuais 
… mas, se ainda assim você precisa de um tecladinho virtual, que tal este?
http://www.jars.com/classes/jresout.cgi?resource=10538
Continuando a série “nervosos com o teclado virtual”, meu banco, não contente em implementar o teclado embaralhando os numeros, também implementou um esquema onde quando vc passa o mouse em cima do numero, alguns “*” cobrem outros 3 números aleatórios.
Pode ser seguro, mas é um saco!!!
Olá
É duro mas vou discordar de gente como o Mota e o CV e isto é muito raro para mim. Na verdade os bancos além de serem seguros, precisam parecer seguros. Nem todos os clientes tem o nosso conhecimento de informática. Mas muitos ficam sabendo dos estragos causados por key loggers e então precisam da confiança dos teclados virtuais, principalmente naqueles com rotação aleatória de teclas. A idéia do PKI do Banco de Boston é boa mas exige computador de uso privativo o que nem sempre é possível.
Segurança é um dos meus assuntos prediletos. Volta e meia na FIAP são apresentadas ótimas palestras sobre o assunto. Não costumo perde-las. O que já li por aí e ouvi nas palestras me dá a certeza de que tudo o que aparentemente os bancos fazem ainda é pouco. Há muitos casos de violações e nem todos são divulgados. Quem freqüenta o MIRC pelas madrugadas já viu oferta mirabolantes de meninos de má índole e de cardeadores.
Mas sabem o que menos me agrada neste rolo todo? Sou engenheiro e não gosto do termo engenharia social usado para identificar os procedimentos escusos para obter informações privadas.
[]s
Luca
O que os olhos não veêm o coração não sente né Luca?!? ehehehe
Realmente eu concordo que parecer seguro aumenta a aceitação do sistema, mas é mancada enganar o povo e mais mancada ainda não deixar eu digitar minha senha na munheca.
Eu nem lembrava mais minha senha, eu tinha que simular o teclado pra lembrar quais eram os números (sério) … era tão prático
Voltando ao assunto do kafruni … fio, se quiser mesmo o teclado não precisa encanar com a virtual machine … quase todo mundo tem e quem não tem tem bons motivos pra instala-la (o banco, seu sistema, e um monte de coisinha pulando nos sites por aí). É uma única vez e indolor … vale a pena pra vc não se restringir demais na programação e recursos …
Fazer em Javascript não é uma tarefa descumonal já que o suporte aos recursos q vc vai precisar tem em todos os browsers (menos no lynx :roll: ) mas eh chatinho chatinho de manter.
Cara eu concordo contigo… ateh pq eu defendi árduamente esse ponto de vista…(é uma vezinha só ), e inclusive achei uma JVM de 2MB… mas infelizmente o pessoal não aceitou … pois entendem que com conexão discada 2MB são uma ENORMIDADE… A solução foi mesmo restringir a programação me limitando a versão 1.1.8 do JAVA. Como todos sabemos o próprio IE tem uma JVM mas ela eh feita na Versão 1.1 do JAVA portanto utilizando-me soh desses recursos consegui fazer com que o navegador interperte a applet sem necessidade de baixar a JVM.
Mas valeu galera… sei que o assunto eh bom mas Teclado Virtual nunca mais… heheeheh
Vc promete nao brigar???
No WinXP, o IE vem sem a Virtual Machine !
[quote=“aborges”]Vc promete nao brigar???
No WinXP, o IE vem sem a Virtual Machine ![/quote]
É verdade cara …nem me lembra disso… mas aza´r eles querem applet… o cara que entrar com XP, vai ter que baixar o plugin… obrigado pela ajuda… e sim prometo não brigar. ok!
Só uma dica bem básica pra quem tem que dialogar com o teclado virtual: desabilitem o JavaScript, escrevam sua senha na caixinha, habilitem Javascript de novo.
Se eu digitar minha senha super-ultra secreta no meu teclado numérico com uma mão e cobrir o teclado com a outra, ninguém vê. Keylogger já era, a onda agora é imagelogger! Agora, como tapar a porcaria da tela toda quando alguém vê que meu cursor vai em a, depois em b…?
Abaixo os teclados virtuais. Parecem seguros, assim como um graaaaande maiframe dos anos 70 parece um puta computador pra leigos. A segurança falsa ainda causa o incoveniente da pessoa relaxar mais aidna,a chando que aquela porcaria protege alguma coisa…
Falando em HCI, Daniel, não posso deixar de citar meu predileto, o Ok/Cancel, que tem charge nova hoje 
[]s
acho q o banco do brasil tem uma proteção contra esses image loggers…ou pelo menos tenta.
quando vc clica no teclado, imediatamente apos, ele (e tudo que tá sobre ele) some por algus segundos (ou milesimos de segundos…sei lah) , pra evitar que o printScreen “tire a foto” de onde vc clicou
E no caso de progama espião que captura tudo que é digitado? Nesse caso o teclado virtual evita a digitação e é menos uma informação capturada, não?
[quote=“rodrigo_gomes”]acho q o banco do brasil tem uma proteção contra esses image loggers…ou pelo menos tenta.
quando vc clica no teclado, imediatamente apos, ele (e tudo que tá sobre ele) some por algus segundos (ou milesimos de segundos…sei lah) , pra evitar que o printScreen “tire a foto” de onde vc clicou[/quote]
mas o imagelogger não precisa tirar a foto bem qdo vc aperta o botão (seja do teclado real ou do virtual). E o que é pior, só precisa tirar a foto 1 vez (nos sistemas que tenho visto hoje).
[quote=“rodrigo_gomes”]acho q o banco do brasil tem uma proteção contra esses image loggers…ou pelo menos tenta.
quando vc clica no teclado, imediatamente apos, ele (e tudo que tá sobre ele) some por algus segundos (ou milesimos de segundos…sei lah) , pra evitar que o printScreen “tire a foto” de onde vc clicou[/quote]
Isso não protege muito não… só fazer um programinha que verifica qual a ForegroundWindow, pega o nome dela, se conter a string “banco do brasil” ou algo do tipo, começa a “filmar” um quadrado 15x15 em volta do mouse…
[quote=Vegetto][quote=“rodrigo_gomes”]acho q o banco do brasil tem uma proteção contra esses image loggers…ou pelo menos tenta.
quando vc clica no teclado, imediatamente apos, ele (e tudo que tá sobre ele) some por algus segundos (ou milesimos de segundos…sei lah) , pra evitar que o printScreen “tire a foto” de onde vc clicou[/quote]
Isso não protege muito não… só fazer um programinha que verifica qual a ForegroundWindow, pega o nome dela, se conter a string “banco do brasil” ou algo do tipo, começa a “filmar” um quadrado 15x15 em volta do mouse…[/quote]
Realmente essa tentativa que o BB implementou de burlar os KL ou IL da vida não consiste em segurança alguma.
Primeiro que se ele tornar o teclado (ou a tela que seja) invisível quando o usuário clica em um botão o programa espião irá reconhecer o clique antes de a tela desaparecer, conseqüentemente não funcionará para nada. Isso se deve ao fato de o programa espião ser geralmente feito em C ou Assembly que são linguagens de um nível bem mais baixo que Java ou JS.
Segundo porque não mais são tiradas simples “fotos” da tela, e sim verdadeiros vídeos de toda a transação, sumir com o teclado e voltar com as posições alteradas das teclas não resolve nada.
Bom, o fato é que ainda não existe nenhuma grande vantagem em se utilizar o TV, quer dizer, hj em dia não é mais vantajoso o seu uso…
O pessoal que é contra o teclado virtual em bancos é muito radical.
Não precisamos de um teclado inteiro na tela, apenas de teclas de 0 a 9, divididas em 5 botoes que são exibidos de forma aleatória.
com isso um ImageLogger mesmo que de certo vai ser dificultado com as 5 teclas (com 2 numeros cada), qualquer outra coisa existente a nao ser isso não é segura isso inclui certificados, criptografia, blabla!
Se voce sabe de alguma outra alternativa e consegue provar procure trabalho em um banco e se torne um magnata.
Qual era a pergunta inicial do topico mesmo ?
Talvez, mas eu nao gosto de ser mole quando o assunto eh seguranca de dados bancarios. Teclados virtuais prejudicam a minha seguranca, e eu nao quero que isso fique assim.
[quote=benflodin]Não precisamos de um teclado inteiro na tela, apenas de teclas de 0 a 9, divididas em 5 botoes que são exibidos de forma aleatória.
com isso um ImageLogger mesmo que de certo vai ser dificultado com as 5 teclas (com 2 numeros cada), qualquer outra coisa existente a nao ser isso não é segura isso inclui certificados, criptografia, blabla![/quote]
E como voce digitaria uma senha forte - uns 20-30 caracteres (com letras, numeros, espacos, pontuacao e acentuacao) num teclado desses? Um image logger pescaria uma senha dessa rapidinho - em algumas tentativas, da pra saber com 100% de certeza qual o PIN do usuario.
Talvez, mas eu nao gosto de ser mole quando o assunto eh seguranca de dados bancarios. Teclados virtuais prejudicam a minha seguranca, e eu nao quero que isso fique assim.
[/quote]
Na verdade acontece pelo contrario, teclados virtuais aumentam a segurança, e não eh nada lerdo!
[quote=cv]
[quote=benflodin]Não precisamos de um teclado inteiro na tela, apenas de teclas de 0 a 9, divididas em 5 botoes que são exibidos de forma aleatória.
com isso um ImageLogger mesmo que de certo vai ser dificultado com as 5 teclas (com 2 numeros cada), qualquer outra coisa existente a nao ser isso não é segura isso inclui certificados, criptografia, blabla![/quote]
E como voce digitaria uma senha forte - uns 20-30 caracteres (com letras, numeros, espacos, pontuacao e acentuacao) num teclado desses? Um image logger pescaria uma senha dessa rapidinho - em algumas tentativas, da pra saber com 100% de certeza qual o PIN do usuario.[/quote]
Sim isso é valido, mas apenas para bancos que nos permitem fazer inumeras tentativas de login chutando senhas e isso não existe, normalmente sao entre 3 a 5 tentativas por mes.
mesmo que o banco use senhas apenas numericas de 8 algarismos se voce fizer os calculos vai ver que é impossivel passar assim, tem que contar muito com a sorte!
Na verdade acontece pelo contrario, teclados virtuais aumentam a segurança, e não eh nada lerdo![/quote]
E voce se baseia em que pra fazer essas duas afirmacoes?
Sobre aumentar a segurança:
Capturar imagens/videos de operações do usuario tambem é facil, mas tem a condição de que vai ser necessario uma interação humana pra decifrar a senha, o que ja se torna um ponto de dificuldade.
No dia que tivermos um algoritmo de reconhecimento de padrão excelente poderemos comparar as duas opções de igual pra igual. masss, akosdaos se usarmos a tecnica que descrevi acima das 5 teclas com numeros combinados o teclado virtual ainda vai ter mta vantagem.
Sobre a velocidade:
*A ultima vez que fui intimado assim foi no BMU por estar com uma camisa do Mayhem hahshdhsahsa
Ok, voce nao entendeu o problema. Digamos que eu seja o Antonio Ermirio de Moraes (AEM, pros intimos). E voce quer entrar na minha conta.
Eu uso MacOS X Leopard com Safari 3.0.4, e meu usuario nunca fica logado como administrador. Eu so uso esse computador pra entrar no Internet Banking.
No que um teclado virtual vai te ajudar a capturar a minha senha?