On 02/06/2012 01:24 PM, Matteo Cicuttin wrote: > Il nuovo applicativo invece richiede i seguenti dati: > * il codice utente (visualizzato in chiaro nel campo della form) > * una data importante per l'utente (specificata in fase d'iscrizione e > anch'essa visualizzata in chiaro durante il login)
Security theatre, come direbbe qualcuno ;) > * un PIN numerico di 6 cifre, da digitare tramite tastierino numerico > visualizzato nella pagina web > > Quello che non mi convince ? proprio questo "tastierino numerico a video". > Ad ogni reload della pagina la disposizione dei tasti viene cambiata, ma i > tasti hanno un bel rollover che li evidenzia di giallo quando gli si clicca > sopra, mettendo di fatto in chiaro anche il PIN. > > Ora, sono convinto che questo metodo di login renda inefficace un eventuale > keylogger installato sulla macchina, ma al prezzo di esporre l'utente al > rischio, secondo me molto pi? concreto, comportato dal "guardone". > Ti suggerisco di guardare qui: http://www.owasp.com/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Javascript_Keyboard e anche il video, dal minuto 2.00: http://www.youtube.com/watch?v=b9Vb4zS6ZmE&feature=player_embedded Che fosse fattibile è banale, la questione è che è supportato dagli strumenti esistenti. > Quello che vi chiedo quindi ?: > * cosa ne pensate voi? sono troppo paranoico? > * qual'? il razionale dietro a questa procedura, a parte quello di > spiazzare i keylogger? Da un punto di vista di analisi del rischio, diciamo che come utente sei mediamente in grado di capire e gestire più la presenza di qualcuno che guarda sopra le spalle che la presenza di un keylogger sul tuo pc. Per molti che usano l'home banking da casa ad esempio il shoulder surfing non è un problema. Se lo usi in contesti in cui puoi avere qualcuno dietro, come in ufficio, il problema è reale, ma in caso di contenzioso probabilmente è più facilmente imputare la frode a tua negligenza che nel caso di un keylogger ;) Il fatto che tu consideri "più concreto" il caso del guardone in qualche modo lo conferma. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
