[IDEA] LaLlave : Teclado para introducir la contraseña de forma segura.

Iniciado por Servia, 17 Junio 2010, 15:46 PM

0 Miembros y 1 Visitante están viendo este tema.

Servia

He tenido una idea que podría resultar bastante útil a empresas que trabajan en internet y tienen una gran cartera de clientes, como es paypal.

Actualmente el mayor sistemas de seguridad que hay (o que yo conzco), es el SSL. El problema sigue siendo que si el cliente tiene un keylogger de nada le va a servir usar una conexión SSL.

Es por ello que he pensado que podría hacerse un logueo seguro por medio de un teclado hecho a conbinación de PHP+javascript+ lo que requiera el cual sus inputs estubieran cifrados siempre de forma distinta y la posición de las letras cambiase de forma aleatoria.

Con ello, el usuario debería hacer clic en cada letra y el keylogger lograría grabar como máximo los inputs enviados al POST y la posición en la pantalla de los clics. Por ello debido al cambio de posición de las teclas no se podría imitar el cliqueo.

El problema entonces sería ya sólo en caso de tener un troyano.

Da ahí ya lo mejor que se me ocurre esque la contraseña se introdujese vía un teclado especial aparte el cual ya no tendría que cambiar la posición de las teclas pero sí el cifrado de las mismas en cada sesión.

MazarD

Hace tiempo que muchos bancos han implementado teclados virtuales y han quitado los inputs.
Cuando eso pasó los bankers también se actualizaron y muchos lo que hacen es al detectar la conexión a la web capturar una parte de la pantalla alrededor del ratón cuando se hace click.
Con lo que planteas la única variación que veo es que para reproducir el login al estar las teclas en posiciones aleatorias el banker debería pasar un ocr para detectar qué letra corresponde a qué imagen.
La unica solución a esto sería una especie de captcha para cada tecla y junto con las teclas aleatorias la mitad de los usuarios se tirarian 2 horas para entrar al sitio.

Saludos.


-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
http://twitter.com/MazarD
irc://irc.freenode.org/elhacker.net

Servia

Cita de: MazarD en 17 Junio 2010, 20:45 PM
la mitad de los usuarios se tirarian 2 horas para entrar al sitio.

Pues perfecto, entonces seguro que los bancos lo implementan, la de gente que va a desistir de retirar su dinero :P

MazarD

jajaja. Seguro que no prefieren tener contentos a los clientes y cuando estafen a alguno hecharle la culpa a "los hackers"? xD

Saludos!
-Learn as if you were to live forever, live as if you were to die tomorrow-

http://www.mazard.info
http://twitter.com/MazarD
irc://irc.freenode.org/elhacker.net

‭lipman

Hmm lo único que se me ocurre para usar contra un sistema talque dices, sería un troyano específico que cada vez que hicieses click, generara un screenshot. Por eso digo que sería específico.. porque configurar un troyano para hacer screenshot cada vez que se haga click es una locura xD

[Zero]

Cita de: ‭lipman en 18 Junio 2010, 11:38 AM
Por eso digo que sería específico.. porque configurar un troyano para hacer screenshot cada vez que se haga click es una locura xD

No es una locura, son un par de líneas  :xD, además, con capturar los links cuando la pagina visitada sea la que quieres listo. Incluso sin pasar las letras por un ocr, los más simples envían las miniimágenes al cliente. Hay mil formas, puede ser más o menos difícil, pero al final siempre habrá alguien que se salte la protección más perfecta.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche