image

Virtuele keyboards geen oplossing voor keyloggers

vrijdag 20 oktober 2006, 16:58 door Redactie, 4 reacties

Sommige banken gebruiken "virtuele keyboards" voor het authenticeren van gebruikers. Op deze manier moet voorkomen worden dat keyloggers gebruikersnamen en wachtwoorden stelen. Het virtuele keyboard blijft zinloos te zijn als oplossing tegen dit soort malware, zo heeft een onderzoeker ontdekt.

Volgens Lance James voorkomen de meeste virtuele keyboards geen "form grabbing" en "session riding", terwijl veel malware dit juist gebruikt voor het stelen van vertrouwelijke informatie. James merkt zelfs op dat de meeste malware juist helemaal geen toetsaanslagen logt.

Bij form grabbing wordt ingevulde informatie (POST) in de webclient (IE of Firefox) gestolen als die zich aanmeldt op een banksite. Virtuele keyboards en "scramble pads" zijn dan ook geen goede bescherming tegen de meeste phishing malware die vandaag de dag beschikbaar is.

Reacties (4)
20-10-2006, 18:03 door G-Force
POST moet dus ook versleuteld worden.
20-10-2006, 18:41 door fubar
Amen. Maar helaas is een PC die onbekende gebruiker heeft staan nooit veilig te krijgen. Vandaar dat hardware tokens daar enigzins een uitkomst vormen. Die zouden eigenlijk echter via een side channel moeten werken waar de hacker niet bij kan. GSM oid?

Carlo Seddaiu
www.pragmasec.com
20-10-2006, 20:03 door G-Force
...Amen...

Ik wist niet dat je religieus was...
21-10-2006, 05:50 door Anoniem
Grin.. Amen.. Als in ik ben het met je eens Peter...

Ciao,
Carlo

Door Peter V.
...Amen...

Ik wist niet dat je religieus was...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.