11 respostas neste tópico

[Sentinel]

Observem a imagem:

Será que ainda assim um keylogger pega a senha?? Caso sim, me expliquem como!!

[Astromech]

Keyloggers monitoram o que se digita no teclado, creio que click não seja alvo.

Pode ser que algum outro tipo spyware monitore esse teclado virtual, mas mesmo assim é um pouco mais difícil de descobrir a senha devido as combinações. O cracker teria as posições digamos assim, mas não os valores exatos.

Em senhas de 6 dígitos e utilizando 10 números diferentes para cada posição teria um total de 999999 possíveis, tirando as obvias, ainda continua um número alto. Imagine em 3 tentativas saber qual é a correta? É um pouco difícil não? Mas é o que teria que ser realizado para tentar descobrir a senha.

Editado por Astromech, 20 abril 2012 - 21:33.

[glass]

O problema é se o malware tirar fotos ou gravar a utilização do PC e você usar bastante esse teclado virtual, dai basta isolar os números que você sempre clica.

[Djoni Filho]

E está cada vez mais comuns virus que tiram shots da página. E parece ser uma boa, já que sempre surgem atuaizações desses virus. O Win32/Georbot, descoberto em março pela Eset, usa vulnerabiliades no Java para se alojar no PC da vítima e não só tirar screenshots, mas também gravar vídeos (usando a webcam da vítima) e aúdio (usando o microfone).

Dessa forma, fica muito mais fácil capturar essa senha. Mas não podemos esquecer que além dela tem outra barreira, que é o iToken. E ele muda de um em um minuto, no iItaú. Esse é mais complicado de pegar.

[glass]

para contra-atacar essas técnicas, só usando um sistema bootavel pelo CD, você carrega ele direto do CD, sem o malware e também utiliza o teclado virtual dele, é difícil algo lhe pegar dessa forma

LPS: http://www.spi.dod.mil/lipose.htm

[Astromech]

Mas mesmo que um malware grave a tela do usuário, com seis dígitos ele teria que adivinhar a sequência mesmo assim, afinal são dois números por posição

[ClutchCargo]

E depois do teclado virtual, ainda tem o Itokem, que pode até ser possivel, mas será muito dificil alguém conseguir decifrar a sua sequência de senhas.

[Sentinel]

Obrigado a todos que responderam no tópico. Parece-me interessante a segurança do Banco Itaú. Não faço transações bancarias pela internet, mas tive oportunidade de acessa-lo recentemente e, fiquei surpreso, apos ler os comentários,o quanto pode ser útil esse sistema que é simples.

Em senhas de 6 dígitos e utilizando 10 números diferentes para cada posição teria um total de 999999 possíveis, tirando as obvias, ainda continua um número alto.

Astromech como chegou ao resultado de 999999? Seria combinações, ou seja total de senhas possíveis?

glass Tem razão sobre isolar os números que você sempre clica. Isso confirma que nenhuma sistema é 100%.


Djoni Filho disse:

Mas não podemos esquecer que além dela tem outra barreira, que é o iToken. E ele muda de um em um minuto, no iItaú. Esse é mais complicado de pegar.

Djoni Filho, poderia explicar melhor sobre o iToken? Como assim muda de um em um minuto?

glass disse:

para contra-atacar essas técnicas, só usando um sistema bootavel pelo CD, você carrega ele direto do CD, sem o malware e também utiliza o teclado virtual dele, é difícil algo lhe pegar dessa forma

Concordo, com uma observação: esse sistema salvo no CD ou DVD não pode ser muito antigo, visto que com o passar do tempo vão se descobrindo várias vulnerabilidades nos navegadores, seja IE, FF ou outros. O próprios sistema desatualizado fica vulnerável. É lógico que usar o LIVE CD/DVD somente para acessar o banco, talvez, a possibilidade de pegar algo nesse espaço de tempo curtíssimo, seja muito raro. Então o ideal seria sempre um sistema live CD/DVD mais recente.

[Astromech]

O número é só pensar, se todas as senhas tivessem o maior número que é 9 em todas as posições se teria 999999 valores diferentes.

Claro que o número de combinações possíveis diminui se um malware "grava" posições selecionadas pelo usuário, mas mesmo assim é um número bem grande.

E tem que levar em conta que aniversário não entra na senha, e não sei se bancos tem bloqueio para senhas mais óbvias.

[glass]

Eu acho que depende, se o atacante se dispor de paciência e sempre gravar, cada vez que usa o teclado virtual, uma oura ou outra, ele consegue isolar o número

Sentinal, o LPS é o sistema Linux oficial do DoD para se usar em máquinas inseguras, sempre baixe a imagem mais nova e logo que iniciar o sistema faça o acesso ao banco, como ele carrega as informações na memória RAM, vai ser sempre um novo sistema, grave em CD.

[ClutchCargo]

Acho que não é tão simples assim, me parece que o Itoken é sincronizado com o horário, portanto se você tentar usar uma senha que foi gereda em outro horário, não deverá funcionar.

[makamine]

um grande problema no portal do itau é que existem transações que não pede numero do itoken, por exemplo "Transferencias entre contas" .

FAIL!!