Aukcje.org
Aukcje internetowe w Polsce i na świecie
Allegro - Klawiatura ekranowa przy logowaniu
Użycie klawiatury ekranowej chroni hasło przed tzw. keyloggerami - programami lub urządzeniami, które monitorują znaki wpisywane z klawiatury tradycyjnej. Skorzystanie z klawiatury jest opcjonalne. Aby ją wyświetlić, wystarczy kliknąć w ikonę obok pola służącego do wpisania hasła. Nazwę użytkownika nadal wprowadza się z klawiatury tradycyjnej.
Rozwiązanie kompletnie pozbawione sensu. Chwila googlowania:
Risk 2: Keyloggers
There is no 100% safe way to enter passwords from a public terminal. That’s a fact.
Modern keyloggers can capture not only keyboard strokes but mouse clicks and the Windows Clipboard. They can also take screen shots of what you are doing. Keeping your confidential information from the prying eyes of the best of these sinister products is extremely difficult, perhaps impossible.
So the golden rule is don’t ever enter confidential information into a hotel computer, an internet cafe PC or other public terminal.
Allegro od dawna specjalizuje się we wmawianiu ludziom, że jest bezpiecznie. Nie jest - a im więcej tego typu idiotycznych mechanizmów, tym bardziej rośnie mylne przeświadczenie użytkowników, że „jest bezpiecznie”. Użytkownicy, z tego co czytam na forach domagali się captchy przy logowaniu. Najprawdopodobniej Allegro dorobi się captchy w momencie, kiedy Google skończy prace nad oprogramowaniem do rozpoznawania pisma. A tak przy okazji, czy ktokolwiek z Was brał udział w ankiecie w której Allegro pytało o taką klawiaturkę do logowania?
To chyba dobra okazja do ponownej publikacji materiału na temat bezpieczeństwa danych.
Zobacz:
Poprzedni news: opinionet.pl
Następny news: Jak mogę chronić moją prywatność?
- Z kursów ESKK skorzystało prawie 900 000 osób
- e-lady w pierwszej trójce największych sklepów internetowych z bielizną w Polsce!
- Apple Center On-Line
- Sprzęt foto-video i TV: e-cyfrowe
- fide - najstarszy w Polski sklep internetowy oferujący piękne, unikalne i markowe produkty wyposażenia i dekoracji wnętrz.
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# Tomasz Rondio — 30/1/2008 @ 0:45:
Przecież ta klawiatura jest zawsze w tym samym miejscu! Da się przechwycić hasło jeśli klawiatura jest w przypadkowym miejscu (mouse tracking + screen) a jeśli jest w tym samym to staje się to dziecinnie proste. Pierwsze pytanie jakie mi się nasunęło jak zobaczyłem ową klawiaturę to „kogo oni tam zatrudniają?”. Takie rozwiązanie moim zdaniem jest poniżej krytyki.
# Jacek Z. Strzembkowski — 30/1/2008 @ 1:57:
Klawiatura jest w tym samym miejscu. Kliknięcie zmienia wygląd przycisku.
Odrobinę lepszym rozwiązaniem jest SVK (Secure Virtual Keyboard) jednak wszystko bierze w łeb jeśli logger zapamiętuje screen.
Poza tym pozostaje jeszcze jeden problem - w ciągu kilku minut nożna dowolnym edytorem tekstu spreparować zawartość pliku hosts w windowsie i podstawić zamiast strony do logowania w allegro stronę pułapkę, która prześle wpisane dane logowania w dowolne miejsce internetu i zaloguje ofiarę jakby-nigdy-nic. To jest aż tak proste. Dlatego do logowania w jakimkolwiek serwisie gdzie zostawiamy pieniądze i dane osobowe NIE WOLNO używać komputerów których nie znamy. Nie mamy żadnej pewności co się stanie. Nie pomoże SSL, ani nawet skanowanie tęczówki - jeśli ktoś przygotuje komputer do tego, żeby nam zabrać dane, to jest w stanie zrobić absolutnie wszystko.
# Wilk — 30/1/2008 @ 18:06:
Lepsze takie cos niż nic. Zqwsze to odfiltrowuje co prostsze szkodniki. Inna sprawa, ze do idealu nadal daleko.
# Joe — 30/1/2008 @ 21:08:
Oczywiście ze zabezpieczenie klawiaturą ekranową to żadne zbezpiecznie …
A czy są lepsze ? Pewnie że są choćby równie prymitywne ale juz dajace większe zabezpiecznie hasło maskowane !
Dla supersprzedawców lub użytkowników którzy wydali by parę złotych proponował bym coś co sie nazywak token to taki kalkulatorek haseł jednorazowych opartych na szyfrowaniu RSA.
I po problemie ale tylko trzeb chcieć a chłopakom z alegro na tym nie zależy no bo jesli wtrąchniecie prostego skrypciku kalwiatury ekranowj zajęło im 8 lat :0 no to hasło maskowane to na bidę 88 lat :)
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.