In relazione a quanto scritto:
Il 06/02/2012 14:17, Piero Cavina ha scritto:
Il 06 febbraio 2012 13:24, Matteo Cicuttin<[email protected]>
ha scritto:
Quello che non mi convince ? proprio questo "tastierino numerico a video".
Ad ogni reload della pagina la disposizione dei tasti viene cambiata, ma i
tasti hanno un bel rollover che li evidenzia di giallo quando gli si clicca
sopra, mettendo di fatto in chiaro anche il PIN.
Se non erro i keylogger possono registrare anche l'area dello schermo
nei dintorni del cursore quando si effettua un clic, il che
vanificherebbe quel tipo di "protezione"..
come scritto anche da altri.. OTP risulta essere un'ottima protezione ma
ricordare una passwd evita di scordarsi l'otp a casa quando ti serve
effettuare L'F24 dall'ufficio e c'รจ la scadenza IVA.... o peggio ancora
perderlo o vederselo sottratto .. ma sono cose mie.
riguardo i keylogger .. sono rimasto indietro alla tecnologia e quelli a
me noti non mi risulta che memorizzino l'area di click (bitmap etc.) che
richiede anche molte piu' risorse ma la posizione del mouse potendo
ripeterne le "gesta".
in tal caso dovrebbero essere in grado di individuare il "numero" in
chiaro (rollover o areashoot) che, normalmente, cambia posizione ad ogni
refresh pagina in maniera casuale il che vanificherebbe la parte
"memorizza la posizione a video/browser"
poi, ovviamente ci sono i dispositivi "furbi" (smarphone, pad vari,
ecc.) che _non_ soffrono di tali anomalie (eheheheh) per i quali ci sono
le applicazioni bancarie piu' disparate (sigh..).
Ciao e "occhio alla spalle"
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
