Ir para conteúdo

Foto

Segurança no login em banco Itau


  • Por favor, faça o login para responder
11 respostas neste tópico

#1
Sentinel

Sentinel

    Membro

  • Membro
  • PipPipPip
  • 427 posts
  • Sexo:Masculino
Observem a imagem:

Imagem Postada


Será que ainda assim um keylogger pega a senha?? Caso sim, me expliquem como!!

#2
Astromech

Astromech

    Moderador

  • Moderador
  • 2.052 posts
  • Sexo:Masculino
  • Local:Porto Alegre - RS
Keyloggers monitoram o que se digita no teclado, creio que click não seja alvo.

Pode ser que algum outro tipo spyware monitore esse teclado virtual, mas mesmo assim é um pouco mais difícil de descobrir a senha devido as combinações. O cracker teria as posições digamos assim, mas não os valores exatos.

Em senhas de 6 dígitos e utilizando 10 números diferentes para cada posição teria um total de 999999 possíveis, tirando as obvias, ainda continua um número alto. Imagine em 3 tentativas saber qual é a correta? É um pouco difícil não? Mas é o que teria que ser realizado para tentar descobrir a senha.

Editado por Astromech, 20 abril 2012 - 21:33.


#3
glass

glass

    Membro Avançado

  • Membro
  • PipPipPip
  • 371 posts
O problema é se o malware tirar fotos ou gravar a utilização do PC e você usar bastante esse teclado virtual, dai basta isolar os números que você sempre clica.

#4
Djoni Filho

Djoni Filho

    Membro

  • Membro
  • PipPip
  • 66 posts
  • Sexo:Masculino
E está cada vez mais comuns virus que tiram shots da página. E parece ser uma boa, já que sempre surgem atuaizações desses virus. O Win32/Georbot, descoberto em março pela Eset, usa vulnerabiliades no Java para se alojar no PC da vítima e não só tirar screenshots, mas também gravar vídeos (usando a webcam da vítima) e aúdio (usando o microfone).

Dessa forma, fica muito mais fácil capturar essa senha. Mas não podemos esquecer que além dela tem outra barreira, que é o iToken. E ele muda de um em um minuto, no iItaú. Esse é mais complicado de pegar.
Websensor - Segurança da Informação na Web
Artigos, dicas, notícias e tutoriais sobre segurança da informação, pentests e auditorias em websites e servidores em busca de falhas de segurança, malwares e exploits (códigos executáveis maliciosos) e remoção de vírus de servidores e computadores pessoa física e jurídica. Checklist gratuito.
http://www.websensor.com.br - contato@websensor.com.br - www.facebook.com.br/websensor - www.twitter.com/websensorbr

#5
glass

glass

    Membro Avançado

  • Membro
  • PipPipPip
  • 371 posts
para contra-atacar essas técnicas, só usando um sistema bootavel pelo CD, você carrega ele direto do CD, sem o malware e também utiliza o teclado virtual dele, é difícil algo lhe pegar dessa forma

LPS: http://www.spi.dod.mil/lipose.htm

#6
Astromech

Astromech

    Moderador

  • Moderador
  • 2.052 posts
  • Sexo:Masculino
  • Local:Porto Alegre - RS
Mas mesmo que um malware grave a tela do usuário, com seis dígitos ele teria que adivinhar a sequência mesmo assim, afinal são dois números por posição ;)

#7
ClutchCargo

ClutchCargo

    Membro PP

  • Membro PP
  • PipPipPip
  • 289 posts
E depois do teclado virtual, ainda tem o Itokem, que pode até ser possivel, mas será muito dificil alguém conseguir decifrar a sua sequência de senhas.

#8
Sentinel

Sentinel

    Membro

  • Membro
  • PipPipPip
  • 427 posts
  • Sexo:Masculino
Obrigado a todos que responderam no tópico. Parece-me interessante a segurança do Banco Itaú. Não faço transações bancarias pela internet, mas tive oportunidade de acessa-lo recentemente e, fiquei surpreso, apos ler os comentários,o quanto pode ser útil esse sistema que é simples.

Em senhas de 6 dígitos e utilizando 10 números diferentes para cada posição teria um total de 999999 possíveis, tirando as obvias, ainda continua um número alto.


Astromech como chegou ao resultado de 999999? Seria combinações, ou seja total de senhas possíveis?

glass Tem razão sobre isolar os números que você sempre clica. Isso confirma que nenhuma sistema é 100%.


Djoni Filho disse:

Mas não podemos esquecer que além dela tem outra barreira, que é o iToken. E ele muda de um em um minuto, no iItaú. Esse é mais complicado de pegar.


Djoni Filho, poderia explicar melhor sobre o iToken? Como assim muda de um em um minuto?

glass disse:

para contra-atacar essas técnicas, só usando um sistema bootavel pelo CD, você carrega ele direto do CD, sem o malware e também utiliza o teclado virtual dele, é difícil algo lhe pegar dessa forma


Concordo, com uma observação: esse sistema salvo no CD ou DVD não pode ser muito antigo, visto que com o passar do tempo vão se descobrindo várias vulnerabilidades nos navegadores, seja IE, FF ou outros. O próprios sistema desatualizado fica vulnerável. É lógico que usar o LIVE CD/DVD somente para acessar o banco, talvez, a possibilidade de pegar algo nesse espaço de tempo curtíssimo, seja muito raro. Então o ideal seria sempre um sistema live CD/DVD mais recente.

#9
Astromech

Astromech

    Moderador

  • Moderador
  • 2.052 posts
  • Sexo:Masculino
  • Local:Porto Alegre - RS
O número é só pensar, se todas as senhas tivessem o maior número que é 9 em todas as posições se teria 999999 valores diferentes.

Claro que o número de combinações possíveis diminui se um malware "grava" posições selecionadas pelo usuário, mas mesmo assim é um número bem grande.

E tem que levar em conta que aniversário não entra na senha, e não sei se bancos tem bloqueio para senhas mais óbvias.

#10
glass

glass

    Membro Avançado

  • Membro
  • PipPipPip
  • 371 posts
Eu acho que depende, se o atacante se dispor de paciência e sempre gravar, cada vez que usa o teclado virtual, uma oura ou outra, ele consegue isolar o número

Sentinal, o LPS é o sistema Linux oficial do DoD para se usar em máquinas inseguras, sempre baixe a imagem mais nova e logo que iniciar o sistema faça o acesso ao banco, como ele carrega as informações na memória RAM, vai ser sempre um novo sistema, grave em CD.

#11
ClutchCargo

ClutchCargo

    Membro PP

  • Membro PP
  • PipPipPip
  • 289 posts
Acho que não é tão simples assim, me parece que o Itoken é sincronizado com o horário, portanto se você tentar usar uma senha que foi gereda em outro horário, não deverá funcionar.

#12
makamine

makamine

    Novato

  • Novato
  • Pip
  • 1 posts
um grande problema no portal do itau é que existem transações que não pede numero do itoken, por exemplo "Transferencias entre contas" .

FAIL!!




0 usuário(s) está(ão) lendo este tópico

0 membros, 0 visitantes, 0 membros anônimos