私の銀行では、マウスを使用してパスワードを入力させています。どうしたの?
Westpacのインターネットバンキングログインプロセスでは、ユーザーがマウスを使用してパスワードを入力する必要があります。それは迷惑です、それはどうですか?公共のコンピューターでキーロガーを停止しようとするだけですか、それとももっと良い理由がありますか?
彼らのモバイルアプリでは、キーボードでログインできます。
パスワードのグラフィカルな入力は、最初はキーロガーを阻止する試みです。そのようなものが現れ始めたとき、キーロガーは自然に進化し(キーロガーを書く人はそれらの開発を止めていません;彼らは新しい条件に適応します)、現代のキーロガーはまた、クリックごとに画面の部分的なスナップショットを記録するマウスロガーです(小さなクリックポイントを囲む領域)。
一部の銀行がグラフィカルなパスワード入力方法を使用するもう1つの理由は、パスワードを記憶するWebブラウザーを好まないためです。これは法的な専門知識のためである可能性があります。ブラウザがパスワードを覚えている場合、serはパスワードを入力しません。これにより、銀行とユーザーの間で競合が発生した場合に銀行が困難になる可能性があります。しかし、実際には、セキュリティ対策として、グラフィカルなパスワードが逆効果になります。ユーザーがブラウザーにパスワードを記憶させることができない場合、彼は別の記憶媒体(例えば、スティックアップノート)を使用します。
銀行にとって、グラフィカルな理由を実装するより説得力のある理由は、信頼管理です。銀行システムの基盤はtrustです:銀行は、あなたにお金を与えるエンティティであり、いつでもあなたにそれを返すと信じています欲しいです。しかし、銀行はそのお金を(他の人に貸すために)使用するので、本質的には、すべての顧客が同時にお金を取り戻すことを望んでいるわけではないという考えに依存しています( 銀行の実行 )。すべての顧客がその考えを共有している限り、銀行は生きています。それが銀行の建物が常に印象的である理由です(19世紀には、すべてが非常に「巨大な」建築物で、石の柱と鉄と大理石でいっぱいでした)。これは、安定性と堅牢性を意識的に示しているため、それらの用語で銀行。
インターネットの時代では、グラフィカルなパスワード入力は重要な柱です。銀行とそれほど重要ではないサイトとの間に心理的な距離を確立します。オンライン銀行のWebサイトが、ピザの注文に使用するサイトに非常に似ていると、見栄えがよくありません。銀行口座にログインすると、顧客はmustが、安全性が重視される「高セキュリティ」ゾーンに入るように感じます。 「グラフィカルパスワードエントリ」は、すべてのグラフィカルなものと同様に、そのための素晴らしい仕掛けです(人間は視覚的な動物であり、彼らは彼らの行動に強く反応しますsee)。私の銀行のWebサイトには、グラフィカルなパスワードエントリはありませんが、同じ理由で、南京錠の写真がポップアップウィンドウに表示されます。
私はこの特定の銀行に精通していませんが、いくつかの可能性があります。
- あなたが示唆したように、それはキーロギングをより困難にすることかもしれません。
- これはたまたまFlashですか?送信前に、入力データに対してクライアント側の暗号化などを行っている可能性があります
- 彼らの開発者は、JavaScriptと比較して、フラッシュ/アクションスクリプトでこれをコーディングする方が簡単であると思うかもしれません(MiTMを制限するために、ユーザー資格情報の公開キー暗号化のjavascript実装を見てきました)
- クライアント側で行っている操作を難読化したい
- 彼らはいくつかのプラグインや他のローカルjavacriptが干渉するのを難しくしたい
- 他の操作を実行せずにパスワードを送信するだけではないとすると、傍受やブルートフォース攻撃をスクリプト化するのが難しくなる可能性があります(たとえば、操作のために生のHTTPパケットを簡単にスクリプト化することはできません)。
- 多分彼らはただクールに見えるようにしようとしています
- このシステムを使用すると、クライアント側で何か他のものを実装したり、開発者が維持するために何らかのタイプのOTPまたはCAPTCHAと統合したりすることが容易になります。
確かに多くの意図があり、そのうちのいくつかは実際のセキュリティ上の利点を追加しない可能性があります。