elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.  (Leído 3,894 veces)
Servia


Desconectado Desconectado

Mensajes: 346


Ver Perfil
[IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« en: 17 Junio 2010, 15:46 pm »

He tenido una idea que podría resultar bastante útil a empresas que trabajan en internet y tienen una gran cartera de clientes, como es paypal.

Actualmente el mayor sistemas de seguridad que hay (o que yo conzco), es el SSL. El problema sigue siendo que si el cliente tiene un keylogger de nada le va a servir usar una conexión SSL.

Es por ello que he pensado que podría hacerse un logueo seguro por medio de un teclado hecho a conbinación de PHP+javascript+ lo que requiera el cual sus inputs estubieran cifrados siempre de forma distinta y la posición de las letras cambiase de forma aleatoria.

Con ello, el usuario debería hacer clic en cada letra y el keylogger lograría grabar como máximo los inputs enviados al POST y la posición en la pantalla de los clics. Por ello debido al cambio de posición de las teclas no se podría imitar el cliqueo.

El problema entonces sería ya sólo en caso de tener un troyano.

Da ahí ya lo mejor que se me ocurre esque la contraseña se introdujese vía un teclado especial aparte el cual ya no tendría que cambiar la posición de las teclas pero sí el cifrado de las mismas en cada sesión.


En línea

MazarD
Colaborador
***
Desconectado Desconectado

Mensajes: 885


mazard.info


Ver Perfil WWW
Re: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« Respuesta #1 en: 17 Junio 2010, 20:45 pm »

Hace tiempo que muchos bancos han implementado teclados virtuales y han quitado los inputs.
Cuando eso pasó los bankers también se actualizaron y muchos lo que hacen es al detectar la conexión a la web capturar una parte de la pantalla alrededor del ratón cuando se hace click.
Con lo que planteas la única variación que veo es que para reproducir el login al estar las teclas en posiciones aleatorias el banker debería pasar un ocr para detectar qué letra corresponde a qué imagen.
La unica solución a esto sería una especie de captcha para cada tecla y junto con las teclas aleatorias la mitad de los usuarios se tirarian 2 horas para entrar al sitio.

Saludos.




En línea

-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
irc://irc.freenode.org/elhacker.net
Servia


Desconectado Desconectado

Mensajes: 346


Ver Perfil
Re: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« Respuesta #2 en: 18 Junio 2010, 08:37 am »

la mitad de los usuarios se tirarian 2 horas para entrar al sitio.

Pues perfecto, entonces seguro que los bancos lo implementan, la de gente que va a desistir de retirar su dinero :P
En línea

MazarD
Colaborador
***
Desconectado Desconectado

Mensajes: 885


mazard.info


Ver Perfil WWW
Re: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« Respuesta #3 en: 18 Junio 2010, 09:42 am »

jajaja. Seguro que no prefieren tener contentos a los clientes y cuando estafen a alguno hecharle la culpa a "los hackers"? xD

Saludos!
En línea

-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
irc://irc.freenode.org/elhacker.net
‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« Respuesta #4 en: 18 Junio 2010, 11:38 am »

Hmm lo único que se me ocurre para usar contra un sistema talque dices, sería un troyano específico que cada vez que hicieses click, generara un screenshot. Por eso digo que sería específico.. porque configurar un troyano para hacer screenshot cada vez que se haga click es una locura xD
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.
« Respuesta #5 en: 18 Junio 2010, 11:44 am »

Por eso digo que sería específico.. porque configurar un troyano para hacer screenshot cada vez que se haga click es una locura xD

No es una locura, son un par de líneas  :xD, además, con capturar los links cuando la pagina visitada sea la que quieres listo. Incluso sin pasar las letras por un ocr, los más simples envían las miniimágenes al cliente. Hay mil formas, puede ser más o menos difícil, pero al final siempre habrá alguien que se salte la protección más perfecta.

Saludos
« Última modificación: 18 Junio 2010, 11:53 am por [Zero] » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines