web-dev-qa-db-fra.com

Pratiques de sécurité sur-le-dessus (?) Pour les intrants CVV

Sur certains sites Web bancaires sur Internet, j'ai vu des champs de saisie CVV qui me semblent étranges. Voici un exemple:

Example CVV input type that I am referring to

Le champ fonctionne comme tel:

  1. Vous ne pouvez pas saisir de code CVV à l'aide d'un clavier.
  2. Les chiffres ne sont jamais dans leur commande normale (1, 2, 3 ...).
  3. Les positions des nombres sont mélangées chaque fois que vous ouvrez le panneau de saisie CVV.

Donc, ma question est:

Il existe un point dans la fabrication des chiffres mélangés à chaque fois que vous souhaitez saisir un code CVV?

Je comprends que vous voudrez peut-être désactiver la saisie du clavier et utiliser une souris plutôt que de défendre à partir de Keyloggers, mais y a-t-il un point dans la mise en place des numéros hachés?

Je comprends également que cette approche est une bonne idée sur un écran tactile car elle supprime la possibilité de deviner la broche par les empreintes digitales de l'écran, mais le curseur ne laisse pas d'empreintes digitales derrière.

Et si cela est faite pour défendre à partir de KeyLogers qui enregistre également vos clics de souris, est-ce réellement efficace, sachant que si le Keylogger enregistre vos clics de souris, il n'y a aucune raison pour ne pas aussi faire des captures d'écran?

credit-cardbankssecurity-theater
2
skmp

Tous vos soupçons sont corrects:

  • il est censé vaincre les Keyloggers
  • il est destiné à vaincre les empreintes digitales tactiles
  • il est destiné à vaincre la défaite des enregistreurs de souris (vous pouvez dériver la séquence de numéro de la position relative de la souris lorsqu'il clique)
  • il échouera contre les enregistreurs qui prennent une capture d'écran lorsque la souris est cliquée.

Est-ce réellement efficace? Eh bien, cela dépend de la menace réellement. Il est efficace contre les menaces qu'il est efficace et faible contre les menaces qu'il n'est pas conçue pour défendre.

Quelle menace est plus probable? Ce n'est pas toujours facile à deviner. Je ne suis pas sûr que tout soit probable du tout. Ce ne sont pas les types de menaces qui dominent actuellement.

Mais ce que cela fait est de le faire ressembler au site est "vraiment sécurisé" pour la mise en œuvre d'une mesure aussi extrême.

1
schroeder