Les claviers virtuels ne sont-ils plus nécessaires pour se protéger contre les enregistreurs de frappe?
Ma banque a publié une nouvelle version de son site bancaire en ligne. Cette nouvelle version n'a pas de clavier virtuel pour saisir le code PIN. Je leur ai demandé comment me protégeaient-ils contre les enregistreurs de frappe, mais je n'ai reçu aucune réponse.
Les claviers virtuels étaient une solution facile à implémenter contre les logiciels malveillants qui enregistraient les frappes du clavier et des enregistreurs de frappe matériels.
Mais les développeurs de logiciels enregistreurs de frappe se sont rapidement adaptés à cette nouvelle technique (parfois simplement en prenant une capture d'écran focalisée autour de l'endroit où la souris clique).
En fin de compte, il n'est pas clair qu'un clavier virtuel offrait un large avantage. Cela vaincrait certainement un enregistreur de frappe matériel installé sur votre clavier, mais ce n'est pas la menace probable.
Étant donné que le logiciel de journalisation des clés prévoit également de capturer les claviers virtuels, il est peu avantageux de maintenir cette technologie dans le scénario large et probable.
Des tests ont été effectués sur l'efficacité des claviers virtuels:
https://www.raymond.cc/blog/how-to-beat-keyloggers-to-protect-your-identity/
Les claviers virtuels sont couramment utilisés dans les sites bancaires car ils ont (au moins) deux avantages:
- ils protègent le mot de passe des enregistreurs de frappe naïfs
- ils empêchent l'utilisateur de stocker le mot de passe dans un fichier
Mais ils ont des inconvénients:
- les enregistreurs de frappe spécialisés peuvent encore espionner les mots de passe (voir la réponse de @ schroeder pour une explication plus approfondie)
- puis empêcher l'utilisation de mots de passe complexes (12 à 20 caractères aléatoires) stockés dans un gestionnaire de mots de passe décent comme keepass
En ce qui me concerne, je ne les aime pas à cause de cela. Mais je dois admettre qu'ils peuvent ajouter une certaine sécurité pour les utilisateurs non avertis de la sécurité. Le problème avec eux est que comme ils nécessitent un mot de passe plutôt faible (au plus 6 à 8 chiffres), la banque pourrait être blâmée en cas de compromis.
Avec les mots de passe standard, les utilisateurs peuvent choisir un mot de passe fort (et il est conseillé de le faire). Si ce n'est pas le cas, ils sont pleinement responsables en cas de compromis et ne peuvent pas blâmer la banque.
L'une des motivations derrière un clavier virtuel était le risque posé par l'utilisation de PC dans les cybercafés, les kiosques, etc. par les utilisateurs pour accéder aux sites Web bancaires par le passé et la dépendance aux authentifications par mot de passe ... Avec plus d'utilisateurs disposant désormais d'un mobile/personnel Certains sites bancaires auraient les deux options et fourniraient des recommandations quant à leur utilisation.Une utilisation à grande échelle de l'authentification multifactorielle/hors bande pour les transactions bancaires a également réduit le risque.
Si vous avez un enregistreur de frappe installé sur votre machine, vous avez de plus gros problèmes. Avec les enregistreurs de frappe avancés, un clavier virtuel n'est pas très efficace.