SW klávesnice proti odposlechnutí hesla?

Jelikož používám elektronický bankovnictví a opatrnosti není nikdy dost, ptám se: Pomůže mi z hlediska bezpečnosti vyplnit uživatelský jméno a heslo k el. bankovnictví s použitím sw klávesnice? Mám na mysli osk.exe pod WinXP.

Pavel

Předmět	Autor	Datum
Neodvažuju se odpovědět přímo, ale přidám info: Některé banky nabízejí na svých stránkách internetov… Eva_M 24.11.2007 16:00	Eva_M	24.11.2007 16:00
Ge-money, dvakrát mi pošle mob. heslo pro vyplnění, jinak se na účet ani nedostanu. vlada5506 24.11.2007 16:04	vlada5506	24.11.2007 16:04
Teď budu možná mimo mísu, ale heslo mám na flešce, v Excelu, a pak stačí Ctrl+C, a Ctrl+V, a heslo j… gambáč 24.11.2007 16:07	gambáč	24.11.2007 16:07
Nejsem si jist, pac to co rika Eva, dejme tomu ok. Softwarove, klavesnice posila "sendkeys" a to poc… AZOR 24.11.2007 16:15	AZOR	24.11.2007 16:15
Jak říkal správně Azor, osk.exe tě vůbec neochrání - viz http://www.lazybit.com/index.php/a/2007/03/… Ynd0r 24.11.2007 16:49	Ynd0r	24.11.2007 16:49
...tak ked uz ste vyvratili bezpecnost soft. klavesnice, co hovorite na vyplnanie policok prostredni… Pavol 24.11.2007 17:57	Pavol	24.11.2007 17:57
co su zabudovane v prehliadacoch Jestli myslíš například hesla, co se nechají zapamatovat Internet… Ynd0r 24.11.2007 18:35	Ynd0r	24.11.2007 18:35
Díky všem za vyjádření a připomínky. Pavel poslední Pavel 24.11.2007 20:17	Pavel	24.11.2007 20:17

Neodvažuju se odpovědět přímo, ale přidám info:
Některé banky nabízejí na svých stránkách internetového bankovnictví obdobnou SW klávesnici a nabádají uživatele, aby aspoň heslo zadal přes tu "virtuální" klávesnici na obrazovce. Má to tak třeba Česká spořitelna.

Ge-money, dvakrát mi pošle mob. heslo pro vyplnění, jinak se na účet ani nedostanu.

Teď budu možná mimo mísu, ale heslo mám na flešce, v Excelu, a pak stačí Ctrl+C, a Ctrl+V, a heslo je tam.

Nejsem si jist, pac to co rika Eva, dejme tomu ok.
Softwarove, klavesnice posila "sendkeys" a to pochopitelně lze odchytit, normalni keyloger umí uz clipboard. Takze bych to si to delal sám :

Napsal bych nejaka pismenka, pak jich par oznacil, prsepsal je apod.
Kdyz uz jsi tak paranojdni.

Jak říkal správně Azor, osk.exe tě vůbec neochrání - viz http://www.lazybit.com/index.php/a/2007/03/01/keylo gger_virtual_keyboard_vmware
To, co dělá gambáč, je ještě horší - jednak má heslo někde napsané, za druhé ho kopíruje přes clipboard, což samozřejmě každý sw keylogger zachytí.
Když už máš v PC nějakou breberku, tak odchycení hesla může ztížit onscreen klávesnice přímo na stránkách bankovnictví (viz Eva) nebo postup, který říkal v druhém odstavci Azor (je na lazybit.com taky popsaný - pod názvem "Mouse::highlight & overwrite + arrow keys").

...tak ked uz ste vyvratili bezpecnost soft. klavesnice, co hovorite na vyplnanie policok prostrednictvom nejakeho programu? ci uz su to tie, co su zabudovane v prehliadacoch alebo nejake ine(napr. ja pouzivam na vyplnanie hesiel program ai roboform, ktory umoznuje zaheslovat aj heslo, ktore sa ma vyplnit).

co su zabudovane v prehliadacoch

Jestli myslíš například hesla, co se nechají zapamatovat Internet Exploreru, tak ta jsou pochopitelně první na ráně - každý záškodnický program ti je ukradne jako první, protože je to bezpracné.

Programy typu AI Roboform by na tom měly být líp. U prohlížečů, které podporují, analyzují obsah načítaných stránek a doplňují hesla a další údaje přímo do požadovaných polí formulářů. Předpokládám, že je tam neposílají pomocí událostí klávesnice, protože se většinou ohánějí imunitou proti keyloggerům (ale neověřoval jsem to).
Takže proti obecným keyloggerům by to mělo být bezpečné.
Na druhou stranu samozřejmě není problém napsat trojana speciálně určeného pro zachytávání hesel vyplňovaných AI Roboformem.

Díky všem za vyjádření a připomínky.

Pavel

Zpět do poradny Odpovědět na původní otázku Nahoru