it-swarm.com.de

Sind virtuelle Tastaturen zum Schutz vor Keyloggern nicht mehr erforderlich?

Meine Bank hat eine neue Version ihrer Online-Banking-Website veröffentlicht. Diese neue Version verfügt über keine virtuelle Tastatur zur Eingabe der PIN. Ich fragte sie, wie sie mich vor Keyloggern schützen, aber ich erhielt keine Antwort.

46
David Lopez

Virtuelle Tastaturen waren eine einfach zu implementierende Lösung für Malware, die Tastenanschläge von Tastatur- und Hardware-Keyloggern aufzeichnete.

Die Entwickler der Keylogger-Software haben sich jedoch schnell auf diese neue Technik eingestellt (manchmal einfach durch einen Screenshot, der sich darauf konzentriert, wo die Maus klickt).

Am Ende ist nicht klar, dass eine virtuelle Tastatur einen breiten Vorteil bietet. Es würde sicherlich einen auf Ihrer Tastatur installierten Hardware-Keylogger besiegen, aber das ist nicht die wahrscheinliche Bedrohung.

Angesichts der Tatsache, dass Keylogging-Software erwartet, dass auch virtuelle Tastaturen erfasst werden, ist es wenig vorteilhaft, diese Technologie in dem breiten, wahrscheinlichen Szenario beizubehalten.

Es wurden Tests zur Wirksamkeit virtueller Tastaturen durchgeführt:

https://www.raymond.cc/blog/how-to-beat-keyloggers-to-protect-your-identity/

84
schroeder

Virtuelle Tastaturen werden häufig auf Bankseiten verwendet, da sie (mindestens) zwei nette Profis haben:

  • sie schützen das Passwort vor naiven Keyloggern
  • sie verhindern, dass der Benutzer das Kennwort in einer Datei speichert

Aber sie haben Nachteile:

  • spezialisierte Keylogger können die Passwörter weiterhin ausspionieren (eine ausführlichere Erklärung finden Sie in der Antwort von @ schroeder).
  • verhindern Sie dann die Verwendung komplexer Kennwörter (12 bis 20 zufällige Zeichen), die in einem anständigen Kennwortmanager wie keepass gespeichert sind

Soweit es mich betrifft, mag ich sie deswegen nicht. Aber ich muss zugeben, dass sie möglicherweise etwas Sicherheit für nicht sicherheitsbewusste Benutzer hinzufügen. Das Problem bei ihnen ist, dass die Bank im Falle eines Kompromisses beschuldigt werden könnte, da sie ein eher schwaches Passwort benötigen (höchstens 6 bis 8 Ziffern).

Mit Standardkennwörtern können Benutzer ein sicheres Kennwort auswählen (und dies wird empfohlen). Wenn dies nicht der Fall ist, sind sie im Falle eines Kompromisses voll verantwortlich und können der Bank keine Vorwürfe machen.

20
Serge Ballesta

Eine der Beweggründe für eine virtuelle Tastatur war das Risiko, dass Benutzer in Cybercafés, Kiosken usw. PCs verwenden, um auf Bankwebsites zuzugreifen, und sich auf kennwortbasierte Authentifizierungen verlassen ... Immer mehr Benutzer haben jetzt ein Handy/Personal Geräte, bei denen das Risiko gesunken ist. Einige Bank-Websites haben beide Optionen und geben Empfehlungen, wann welche verwendet werden sollen. Die Verwendung von Multifaktor-/Out-of-the-Band-Authentifizierung/-Verifizierung für Bankgeschäfte in großem Maßstab hat das Risiko ebenfalls verringert.

Wenn Sie einen Keylogger auf Ihrem Computer installiert haben, treten größere Probleme auf. Mit fortschrittlichen Keyloggern ist eine virtuelle Tastatur nicht sehr effektiv.

3
abhijitr