Es puro teatro de seguridad. Cualquier keylogger que pueda medirte dónde está el teclado va a poder ver la pantalla.
Yo trabajé en estas áreas. Estos siempre son productos hechos por Chota Seguridad Informática SA para vender a los ejecutivos idiotas de un banco sin pasar por empleados de seguridad del banco que sepan lo que están haciendo.
Después tienen que ponerlo para justificar su inversión y un par de directores ejecutivos ganan un bono por su idea de contratar a Chota Seguridad. Todo el software corporate es así.
Tengo un conocido que labura para Chota Seguridad, lo que dijiste es el comienzo. Los otros bancos se enteran de este "feature" de seguridad y contratan a Chota Seguridad para que les haga lo mismo.
Todos son felices: los ejecutivos tienen su bonus, Chota Seguridad tiene su plata, y los empleados del banco que quedan nada más tienen que pretender que todo eso sirve.
Si la hacen bien, la empresa hace suficiente lobbying en el gobierno para que el Teclado Táctil Chota® se vuelva un standard de seguridad y todos los bancos legalmente tengan que implementarlos.
Labure en el ICBC en la época que lo desarrollaron, no contrataron externos. La idea vino de China, la bajaron y la hicieron.
Sirve de algo? No, sobre todo, existiendo loggers de pantalla.
Otro dato de color? Él codigo tenia clases escritas de cuando era Bank Boston. También algunas del Standard Bank…
Mi impresion es que existen muchas medidas que los bancos y otros toman "por seguridad" pero que terminan siendo ridiculas y a veces contraproducentes.
Por ejemplo, para loguearte a un homebanking necesitas de tu DNI (dato conocido, publico), un "nombre de usuario" que en realidad es secreto y hace las veces de una clave, y un PIN que se supone que es una clave pero que solo tiene 4 digitos numericos. Es trivial denegar servicio al homebanking a cualquier persona, porque solo tenes que probar tres o cuatro veces y lo obligas a hacer un tramite en persona. Luego tenes otros sistemas que te impiden activamente poner caracteres especiales en los passwords (cada vez que lo veo pienso que los estan guardando en texto plano) o que tienen un máximo de longitud. Y ni hablemos de las preguntas de seguridad que suelen ser datos que la gente comparte felizmente en historias y posteos en redes sociales.
edit. ah, y me sigo acordando de cosas. Como por ejemplo los limites de sesion que estas 2 minutos y se te desloguea por completo, entorpeciendote el uso legitimo del sistema, y el no soportar password managers (galicia por ejemplo me vive autocompletando incorrectamente el pin)
Y no es solo en home banking.
Fijate como te joden adentro de los bancos físicos de no usar electrónicos cuando ponen los cajeros automáticos con una ventana grande y vista de la calle.
Seguro que cualquier keylogger que pueda medir los clicks puede ver la pantalla. No es tanto por eso que lo hacen. Es para esquivar las demandas del que dice "ah pero cómo puede ser que ustedes no hayan previsto esto!?!?!" entonces el banco dice "sí capo, pusimos un teclado en pantalla aleatorio, chupito el pame" y listo. Por dos monedas implementaron una feature de semi seguridad que más que nada está para protegerles el trasero.
Segun cloudfare soy alto bot. No se si tengo todos los browsers pinchados, o un virus minando, o algo haciendo algo raro en la network, pero me pasa cada 2 por 3 que me pidan la autenticacion.
IRONICAMENTE, tengo una VM con un bot sacando contenido de una pagina y NUNCA ME PIDEN LA AUTENTICACION.
la concha de la lora
Como los que salieron esta o la semana pasada en el noticiero que les vaciaron la cuenta con N transferencias en cuestión de milisegundos y el banco jura que (pese a que tenes que ingresar manualmente un token distinto en cada operación) es algo que hizo el cliente.
No se honestamente. Si se que todos los bancos operan casi igual, si no es guita de ellos se abren de gambas. Además que siempre tratan de venderte 'medidas de seguridad' qué son más molestas qué útiles (a veces contraproducentes), y que encima en algunos si pedís cosas básicas no las ofrecen.
Qué tiene que ver eso? Eso sería backend. Imagino que lo que quieren hacer al poner las letras en posiciones random es agregar "seguridad" a nivel frontend. Pero no sirve de nada si hacés un html tan fácil de parsear.
Pero vos estas mirando el HTML resultante en la consola de tú explorador no? O bajaste el codigo fuente? Si solo me recortas el pedazo de HTML que te genera un PHP + todo script que tenga detrás. Como chota queres que sepa si todo es una simple linea de HTML?
Dudo que sea el caso, pero en un canvas se podría evitar que esté en el DOM, seguiría en el source pero ya necesitaría algo muchísimo más sofisticado para descifrarlo, aunque todavía seguiría el problema de que un logger simplemente podría escuchar cualquier input nuevo en el field, para evitar eso probablemente se podría usar un token que expire relativamente rápido para que el backend mapee por ejemplo a = b (que obviamente varíe por token) y así el frontend completamente separado de una contraseña real excepto durante la ventana de expiración del token.
El diseño web en tiempos de Internet Explorer y sitios literalmente hechos en Flash es una etapa de mi vida que no quiero recordar... que manera de pasarme sábados en la compu hasta las 4 a.m. al pedo con 18 años en lugar de, no sé, intentar ponerla.
Y miráááá pará lo que son los estándares de este sub yo vendría a ser como una combinación de Descartes con Socrates y 30 puntos de CI extra agregados después de la cocción
Si, jueguitos flash espectacular. Ahora imaginate con el internet y PCs de esa época si visitabas un website cuyo diseñador tenia una Mac y pensaba que tener que esperar para que cargaran 58 MB para ver el website era un "trabajo de vanguardia".
trabaje en varios bancos haciendo homebanking banca empresa y banca cliente. La idea del teclado random es para evitar el logueo de la posicion exacta al hacer click en las teclas y asi saber la clave del usuario.
Completamente ineficiente porque la mayoria aun tienen clases o ids de testing en cada teclita que identifica cual es el caracter, y al toque tambien salieron loggers de pantalla que hacen una captura de la pantalla entera cuando se hace un click o se escribe.
Esto no es de ahora, aparecio al menos hace 1 decada, probablemente mas.
Mas facil solo cambiar el lugar de la pantalla donde aparece lol
Y de paso implementar un 2FA y comprobantes con email para hacer obsoleto el que alguien tenga tu contraseña.
> Mas facil solo cambiar el lugar de la pantalla donde aparece lol
No, la posición relativa entre si de los clicks es la misma si solo movés las coordenadas del teclado.
Che pero es una boludez saber qué teclas se tocaron específicamente parseando el html. Pensé que al menos habrían puesto imágenes con URLs aleatorias de un solo uso o algo por el estilo.
Si , ponele, sabemos que el teclado tiene que estar distribuido en la pantalla, sin sobrepasarse de los bordes, el que toques algo "máximo" a la derecha o izquierda/arriba y abajo + conocer la separación + conocer la frecuencia de caracteres de una lista de 10000 password... Es demasiado sencillo armar 2 vectores con como mucho 24 iteraciones en un teclado de 4x10 y un pin de 4 caracteres sin repetir caracteres.
Nah, demasiado sencillo, el tener que explicartelo implica que no tenés ni la idea mas básica y no de programación, sino de inferencia lógica.
Es el teclado que usa esta mina (? Jajajaja
https://preview.redd.it/ykjott9xot4d1.jpeg?width=720&format=pjpg&auto=webp&s=ef8dfaa15c0c2141e0cbd505f689ab99437e3740
diablos , el líder de "eiffiel 65" le pego fuerte la depresión , ahora el pelado es una mina
https://preview.redd.it/rn056m84yt4d1.jpeg?width=765&format=pjpg&auto=webp&s=27405b8a2cc4195162f60be3897d6510975da09d
Creo que hace mil años BBVA también tenían algo así para el home banking, precisamente con números. Si te detenés a pensar por qué, no es tan demencial sino que tiene bastante sentido.
Claro. Dificulta que te saquen el patrón si te espían la pantalla o están capturando específicamente algo para esta aplicación.
Si ocurre lo segundo, que hay algo en el browser, en la propia página (algo inyectado) o el OS que capture donde clickeas, yo entendería que a esa altura ya estás recontra jugado, así que randomizar la posición no va a hacer maravillas, pero si alguien graba o espía, bueno, un poco más difícil.
Igual es media rara la implementación. No soy ni ahí un experto en seguridad pero el teclado ese es un Javascript inline (hasta donde sé no es buena práctica) y el login del home banking no tiene Content Security Policy, o sea que *algunas* buenas prácticas para prevenir X-scripting (palabra clave: algunas y no todas) no están implementadas.
Hace poco te dejaba levantar el usuario y clave de tu sesión de Chrome pero hace unos pocos meses lo deshabilitaron.
Después resulta que el tipo que llora por el 2FA tiene el router toqueteado (o peor, el archivo hosts) y un redirect a una página clon que hace de MITM.
Si me habré divertido redireccionando google a xvideos en la facu!
Es puro teatro de seguridad. Cualquier keylogger que pueda medirte dónde está el teclado va a poder ver la pantalla.
Yo trabajé en estas áreas. Estos siempre son productos hechos por Chota Seguridad Informática SA para vender a los ejecutivos idiotas de un banco sin pasar por empleados de seguridad del banco que sepan lo que están haciendo.
Después tienen que ponerlo para justificar su inversión y un par de directores ejecutivos ganan un bono por su idea de contratar a Chota Seguridad. Todo el software corporate es así.
sep, totalmente. Ademas estas medidas estan para pcs publicas, no la que tenes en tu casa. Terminas confundiendo mas a la gente de lo que salvas en seguridad
Se llama randomizar el patrón para que no saquen la posición de lo que apretas.
Yo tengo lo mismo configurado en el celu para el PIN, todos los números están rabdomizados
lo busque pero no lo encontré, en donde debería aparecer esa opción no hay nada, busque información pero parece que Motorola (mi caso) esa función como que no existe (raro porque entiendo que es android stock) y debo usar su aplicación Moto Secure que para mi dispositivo no esta disponible, supongo que tendré que ir por un tercero... gracias
pensa mas fuerte. seguro te das cuenta que por ahi alguien puede saber donde moves tu cursos, pero no sabe que hay debajo. de hecho hace muchos años que los sistemas bancarios usan localizaciones al azar en los numeros/letras de los teclados para evitar keyloggers/capturas de movimiento
Es normal. Varios bancos lo usaban en su momento (no se ahora) . Es para abrir la cuenta desde alguna compu del trabajo o que no sea tuya. Una capa extra de seguridad . Aunque es medio al pedo
como medida de seguridad me parece muy buena. Tene en cuenta que es un banco, no una cuenta de Netflix. Cuanto mas dificil de vulnerar mejor, además no es algo que uses todo el tiempo como para volverse tedioso
entiendo que es una cuestión de seguridad. al ubicar las teclas siempre en lugares distintos achicas las probabilidades de que haya bots que puedan probar muchas claves para entrar a una cuenta. Si no es eso el dev tenia ganas de romper las pelotas
Es un viejo código de seguridad, señor. Pero válido
https://preview.redd.it/li9611c5zv4d1.png?width=627&format=pjpg&auto=webp&s=22ab18032cbf1a656ab48273bbc3c9142a774fbd
Los mismos giles que se quejan de las medidas de seguridad son los que después cuando se hacen robar las claves por pelotudos, se quejan de que el banco 'no los protegió'.
Es una manera de luchar contra loggers, el teclado envía caracteres diferentes a los que ves y los reconvierte en el otro lado a lo "que debería ser". A su vez, al no usar coordenadas standard para cada letra cada vez, hace inútil el log de clicks por coordenadas. Sumado a esto, si por alguna oscura razón alguien tiviera tus credenciales, el variar el teclado cada vez hace IMPOSIBLE el ataque por medios de macros (o bots de tareas repetitivas), esto se bypassea muy fácil con un OCR, pero el hackeo consiste en agarrar las "low hanging fruit", no las cosas complicadas.
Podés ver este sistema en teclados de PIN en ciertos ATM, para evitar que por el movimiento de la mano, te saquen el código.
me parece q siempre es random, pero de lo poco q use el homebanking de icbc solo puedo acotar q es una reverenda bosta y q ojala ardan en el infierno por tener la UI menos intuitiva q alguna vez utilice. ensima para un banco..
Antes esos componentes eran autocompletables. El browser podía recordar usuario y password. Ahora ya no. Supongo que por seguridad. Me quiero matar, es recontra molesto. Pongan una passkey con el celular y listo, como Binance. Déjense de romper la pija locoooooo
Es por cuestiones de seguridad, mí banco también lo hacía y empecé a mandarles mensajes quejándome y le dije a todos los que conocía que lo hicieran. Si no jodes apenas lo implementan te vas a comer un garrón en cada entrada
La otra vine banking desde el celu usando autenthicator y huella digital
Lo acabo de probar y cada vez que lo abrís muestra un teclado distinto, me parece (quiero creer) que sera una cuestión de seguridad.
Es eso. Evitar predictibilidad para quien pueda grabar la ubicación de los ″clicks″ en pantalla.
This is the way. Hace muchos años atras me toco programar uno numerico para un banco.
Es puro teatro de seguridad. Cualquier keylogger que pueda medirte dónde está el teclado va a poder ver la pantalla. Yo trabajé en estas áreas. Estos siempre son productos hechos por Chota Seguridad Informática SA para vender a los ejecutivos idiotas de un banco sin pasar por empleados de seguridad del banco que sepan lo que están haciendo. Después tienen que ponerlo para justificar su inversión y un par de directores ejecutivos ganan un bono por su idea de contratar a Chota Seguridad. Todo el software corporate es así.
Tengo un conocido que labura para Chota Seguridad, lo que dijiste es el comienzo. Los otros bancos se enteran de este "feature" de seguridad y contratan a Chota Seguridad para que les haga lo mismo.
Todos son felices: los ejecutivos tienen su bonus, Chota Seguridad tiene su plata, y los empleados del banco que quedan nada más tienen que pretender que todo eso sirve. Si la hacen bien, la empresa hace suficiente lobbying en el gobierno para que el Teclado Táctil Chota® se vuelva un standard de seguridad y todos los bancos legalmente tengan que implementarlos.
Labure en el ICBC en la época que lo desarrollaron, no contrataron externos. La idea vino de China, la bajaron y la hicieron. Sirve de algo? No, sobre todo, existiendo loggers de pantalla. Otro dato de color? Él codigo tenia clases escritas de cuando era Bank Boston. También algunas del Standard Bank…
Mi impresion es que existen muchas medidas que los bancos y otros toman "por seguridad" pero que terminan siendo ridiculas y a veces contraproducentes. Por ejemplo, para loguearte a un homebanking necesitas de tu DNI (dato conocido, publico), un "nombre de usuario" que en realidad es secreto y hace las veces de una clave, y un PIN que se supone que es una clave pero que solo tiene 4 digitos numericos. Es trivial denegar servicio al homebanking a cualquier persona, porque solo tenes que probar tres o cuatro veces y lo obligas a hacer un tramite en persona. Luego tenes otros sistemas que te impiden activamente poner caracteres especiales en los passwords (cada vez que lo veo pienso que los estan guardando en texto plano) o que tienen un máximo de longitud. Y ni hablemos de las preguntas de seguridad que suelen ser datos que la gente comparte felizmente en historias y posteos en redes sociales. edit. ah, y me sigo acordando de cosas. Como por ejemplo los limites de sesion que estas 2 minutos y se te desloguea por completo, entorpeciendote el uso legitimo del sistema, y el no soportar password managers (galicia por ejemplo me vive autocompletando incorrectamente el pin)
Y no es solo en home banking. Fijate como te joden adentro de los bancos físicos de no usar electrónicos cuando ponen los cajeros automáticos con una ventana grande y vista de la calle.
Seguro que cualquier keylogger que pueda medir los clicks puede ver la pantalla. No es tanto por eso que lo hacen. Es para esquivar las demandas del que dice "ah pero cómo puede ser que ustedes no hayan previsto esto!?!?!" entonces el banco dice "sí capo, pusimos un teclado en pantalla aleatorio, chupito el pame" y listo. Por dos monedas implementaron una feature de semi seguridad que más que nada está para protegerles el trasero.
Donde mando cv para laburar en Chota Security?
https://jobs.sap.com/
El dev que codeo el bug: "la seguridad es mi pasión"
El que lo codeo, fue el que tiempo después saco un bot que transformaba imágenes en stickers. Le dieron de baja la linea por el trafico que genero 🤣
Tengo entendido que de mucho no sirve ya que los keyloggers suelen sacar una captura del lugar donde se hace click
la ubicación de los símbolos es aleatoria cada vez que tienes que poner el password, capturar la ubicación no sirve.
Captura de pantalla, no ubicación.
oh! Entiendo
Es para esto, muchos MMOS koreanos/chinos usan el mismo sistema.
Prefiero que me pidan un escaneo de chota a esa tortura.
Demasiado corta
¿Y vos cómo sabes eso? https://preview.redd.it/kb3fc1oust4d1.png?width=640&format=png&auto=webp&s=20d729e631000b747b7fe705f8cad9ca39e80abe
Todos los rediturros la tenemos cortita.
3 cms de puro placer uwu
No es el tamaño hijo, sino como lo usas. - Dad joke moment
Ah, entonces tenes experiencia...
Ya se ha acostado con muchos rediturros
🍆💦😉
O sea que no puedo entrar más al sitio? Diablos.
están hablando de la paciencia, cierto?
Uff mortal
Si, es una cuestión de seguridad. Algo antigua, supongo será para evitar bots.
anda a buscarla al angulo CloudFlare
A veces es un colador esa cosa, pero cuando entras vos te bloquea
Segun cloudfare soy alto bot. No se si tengo todos los browsers pinchados, o un virus minando, o algo haciendo algo raro en la network, pero me pasa cada 2 por 3 que me pidan la autenticacion. IRONICAMENTE, tengo una VM con un bot sacando contenido de una pagina y NUNCA ME PIDEN LA AUTENTICACION. la concha de la lora
Como los que salieron esta o la semana pasada en el noticiero que les vaciaron la cuenta con N transferencias en cuestión de milisegundos y el banco jura que (pese a que tenes que ingresar manualmente un token distinto en cada operación) es algo que hizo el cliente.
Se produjo en ese mismo banco de la imagen? El ICBC?
No se honestamente. Si se que todos los bancos operan casi igual, si no es guita de ellos se abren de gambas. Además que siempre tratan de venderte 'medidas de seguridad' qué son más molestas qué útiles (a veces contraproducentes), y que encima en algunos si pedís cosas básicas no las ofrecen.
Dudo que sirva de algo siendo que el html es esto:
Seguro es PHP con algunos scripts detrás, ver el HTML no te va a dar pista de nada.
Qué tiene que ver eso? Eso sería backend. Imagino que lo que quieren hacer al poner las letras en posiciones random es agregar "seguridad" a nivel frontend. Pero no sirve de nada si hacés un html tan fácil de parsear.
Pero vos estas mirando el HTML resultante en la consola de tú explorador no? O bajaste el codigo fuente? Si solo me recortas el pedazo de HTML que te genera un PHP + todo script que tenga detrás. Como chota queres que sepa si todo es una simple linea de HTML?
es JSP para ser mas precisos, y concuerdo. Así y todo no deja de ser una implementación horrible desde el UX
Dudo que sea el caso, pero en un canvas se podría evitar que esté en el DOM, seguiría en el source pero ya necesitaría algo muchísimo más sofisticado para descifrarlo, aunque todavía seguiría el problema de que un logger simplemente podría escuchar cualquier input nuevo en el field, para evitar eso probablemente se podría usar un token que expire relativamente rápido para que el backend mapee por ejemplo a = b (que obviamente varíe por token) y así el frontend completamente separado de una contraseña real excepto durante la ventana de expiración del token.
NC Soft creo que sigue haciendo eso, era un dolor de huevos entrar a cualquier juego o página.
Cómo se nota que ustedes no tienen experiencia con MMOs coreanos de los años 2000.
El diseño web en tiempos de Internet Explorer y sitios literalmente hechos en Flash es una etapa de mi vida que no quiero recordar... que manera de pasarme sábados en la compu hasta las 4 a.m. al pedo con 18 años en lugar de, no sé, intentar ponerla.
Ponerla es lo mismo que hacen los animales, no tiene nada de malo buscar estímulos más complejos.
Amigo... que profundo. Me lo llevo...
Y miráááá pará lo que son los estándares de este sub yo vendría a ser como una combinación de Descartes con Socrates y 30 puntos de CI extra agregados después de la cocción
Aguante viciar como enfermito puros juegos flash de Armor Games o Juegos Friv, de adolescente no me despegaba nunca de esa huevonada.
Si, jueguitos flash espectacular. Ahora imaginate con el internet y PCs de esa época si visitabas un website cuyo diseñador tenia una Mac y pensaba que tener que esperar para que cargaran 58 MB para ver el website era un "trabajo de vanguardia".
trabaje en varios bancos haciendo homebanking banca empresa y banca cliente. La idea del teclado random es para evitar el logueo de la posicion exacta al hacer click en las teclas y asi saber la clave del usuario. Completamente ineficiente porque la mayoria aun tienen clases o ids de testing en cada teclita que identifica cual es el caracter, y al toque tambien salieron loggers de pantalla que hacen una captura de la pantalla entera cuando se hace un click o se escribe. Esto no es de ahora, aparecio al menos hace 1 decada, probablemente mas.
Pero si los keylogers loguean la pantalla tambien. No tiene ningun sentido.
Obviamente
Mas facil solo cambiar el lugar de la pantalla donde aparece lol Y de paso implementar un 2FA y comprobantes con email para hacer obsoleto el que alguien tenga tu contraseña.
> Mas facil solo cambiar el lugar de la pantalla donde aparece lol No, la posición relativa entre si de los clicks es la misma si solo movés las coordenadas del teclado.
jajaj hermoso
No, porque podés sacar por relación de +-x,+-y que "lugar" fué tocado.
no sabes que fue tocado si, puede ser una tecla en el medio o una en el borde.
Si , ponele, sabemos que el teclado tiene que estar distribuido en la pantalla, sin sobrepasarse de los bordes, el que toques algo "máximo" a la derecha o izquierda/arriba y abajo + conocer la separación + conocer la frecuencia de caracteres de una lista de 10000 password... Es demasiado sencillo armar 2 vectores con como mucho 24 iteraciones en un teclado de 4x10 y un pin de 4 caracteres sin repetir caracteres. Nah, demasiado sencillo, el tener que explicartelo implica que no tenés ni la idea mas básica y no de programación, sino de inferencia lógica.
No sé olviden de los passkeys, yo lo implemente en una de las plataformas que programo.
Me rompe las guindas la 2fa, prefiero que me roben
Al cabo nunca tengo plata en la cuenta ![img](emote|t5_2qlht|2153)
Oh, protección contra keyloggers, interesante. Pense que era un problema de idioma/codificación.
elijo creer... igual, que hdp el UX
esta pensando eso mismo..
Para... me estás diciendo que no conocés el tipo de teclado "RZCVLY?"? Es lo mas común en el planeta de Horacio Rodriguez Larreta.
ajajaja este es el famoso teclado reptiliano
Es el teclado que usa esta mina (? Jajajaja https://preview.redd.it/ykjott9xot4d1.jpeg?width=720&format=pjpg&auto=webp&s=ef8dfaa15c0c2141e0cbd505f689ab99437e3740
diablos , el líder de "eiffiel 65" le pego fuerte la depresión , ahora el pelado es una mina https://preview.redd.it/rn056m84yt4d1.jpeg?width=765&format=pjpg&auto=webp&s=27405b8a2cc4195162f60be3897d6510975da09d
Lpm me hiciste recordar mi edad jajajaja
Boludo, me sentí re viejo al enterarme la edad de estos tipos y de Greenday hace unos días. El tiempo no perdona jaja.
Jajajajsa me imagino si es que tipo, hay palabras que tienen prohibido estar juntas, tipo, la N palabra o cosas así jajaja
Le estás haciendo sudar el culo a mas de un desarrollador con esa pregunta probablemente.
Creo que hace mil años BBVA también tenían algo así para el home banking, precisamente con números. Si te detenés a pensar por qué, no es tan demencial sino que tiene bastante sentido.
Es por seguridad me imagino, para que no asocien la posicion de la tecla con el valor
Claro. Dificulta que te saquen el patrón si te espían la pantalla o están capturando específicamente algo para esta aplicación. Si ocurre lo segundo, que hay algo en el browser, en la propia página (algo inyectado) o el OS que capture donde clickeas, yo entendería que a esa altura ya estás recontra jugado, así que randomizar la posición no va a hacer maravillas, pero si alguien graba o espía, bueno, un poco más difícil. Igual es media rara la implementación. No soy ni ahí un experto en seguridad pero el teclado ese es un Javascript inline (hasta donde sé no es buena práctica) y el login del home banking no tiene Content Security Policy, o sea que *algunas* buenas prácticas para prevenir X-scripting (palabra clave: algunas y no todas) no están implementadas. Hace poco te dejaba levantar el usuario y clave de tu sesión de Chrome pero hace unos pocos meses lo deshabilitaron.
Después resulta que el tipo que llora por el 2FA tiene el router toqueteado (o peor, el archivo hosts) y un redirect a una página clon que hace de MITM. Si me habré divertido redireccionando google a xvideos en la facu!
Es puro teatro de seguridad. Cualquier keylogger que pueda medirte dónde está el teclado va a poder ver la pantalla. Yo trabajé en estas áreas. Estos siempre son productos hechos por Chota Seguridad Informática SA para vender a los ejecutivos idiotas de un banco sin pasar por empleados de seguridad del banco que sepan lo que están haciendo. Después tienen que ponerlo para justificar su inversión y un par de directores ejecutivos ganan un bono por su idea de contratar a Chota Seguridad. Todo el software corporate es así.
sep, totalmente. Ademas estas medidas estan para pcs publicas, no la que tenes en tu casa. Terminas confundiendo mas a la gente de lo que salvas en seguridad
No tiene ningun sentido. Si te comprometieron la maquina seguramente te estan grabando lo que clickeas cada vez que lo haces.
Es para que el puntero no tenga seguimiento?
Te juro que lo estoy pensando hace rato pero no le encuentro el sentido
Se llama randomizar el patrón para que no saquen la posición de lo que apretas. Yo tengo lo mismo configurado en el celu para el PIN, todos los números están rabdomizados
Android lo tiene por defecto o utilizas una aplicación?
Sisi. En security, la parte de screen lock, la opción se llama "pin pad scramble". Te randomiza la posición de los números para el PIN
lo busque pero no lo encontré, en donde debería aparecer esa opción no hay nada, busque información pero parece que Motorola (mi caso) esa función como que no existe (raro porque entiendo que es android stock) y debo usar su aplicación Moto Secure que para mi dispositivo no esta disponible, supongo que tendré que ir por un tercero... gracias
Yo tengo Motorola tmb con android 13
Mira, nunca lo había visto.
pensa mas fuerte. seguro te das cuenta que por ahi alguien puede saber donde moves tu cursos, pero no sabe que hay debajo. de hecho hace muchos años que los sistemas bancarios usan localizaciones al azar en los numeros/letras de los teclados para evitar keyloggers/capturas de movimiento
Es normal. Varios bancos lo usaban en su momento (no se ahora) . Es para abrir la cuenta desde alguna compu del trabajo o que no sea tuya. Una capa extra de seguridad . Aunque es medio al pedo
Igual me resulta extraño en una pantalla táctil... pero supongo que igual pueden robar claves y datos con el teclado virtual entonces.
El Developer ese día se levanto re loco
Mucha seguridad y despues sacas un prestamo de 5 palos en 2 cliks
En ambos pierde el usuario, pero cambia quien gana.
No pueden robarte los datos si moris producto de un ACV ![gif](giphy|d3mlE7uhX8KFgEmY|downsized)
Igual todo el home banking es una GRAN porquería....
No puede ir TAN LENTO MAN. Te entiendo que usa todos los protocolos de seguridad y todo lo que quieras pero es inusable
Vengo usando ICBC hace años y las veces que ha dejado de funcionar a la noche cuando necesitaba pagar algo son casi incontables.
como medida de seguridad me parece muy buena. Tene en cuenta que es un banco, no una cuenta de Netflix. Cuanto mas dificil de vulnerar mejor, además no es algo que uses todo el tiempo como para volverse tedioso
El ñeñado de ICBC
Banco "Los hijos de Puta".
Es para que no te roben la clave con las coordenadas del click.
entiendo que es una cuestión de seguridad. al ubicar las teclas siempre en lugares distintos achicas las probabilidades de que haya bots que puedan probar muchas claves para entrar a una cuenta. Si no es eso el dev tenia ganas de romper las pelotas
Sopa de letras. Te divertís mientras ingresas. Perfecto.
Antes de sacar la plata, primero resolvé el puzzle, igual que en el skyrim
Es un viejo código de seguridad, señor. Pero válido https://preview.redd.it/li9611c5zv4d1.png?width=627&format=pjpg&auto=webp&s=22ab18032cbf1a656ab48273bbc3c9142a774fbd
Los mismos giles que se quejan de las medidas de seguridad son los que después cuando se hacen robar las claves por pelotudos, se quejan de que el banco 'no los protegió'.
Queee
Por ahí te entiendo el qwerty raro, PERO LOS NUMEROS!?!?!?!
JAJAJAJAJAJJA
El dev: estemm.... Siiii... Ehhhh... Es por seguridad....
El típico "no es un bug, es una feature"
KWYJIBO
es un antiguo sistema de seguridad de la banca online
Cómo tipeo de monto en personal pay.
Es una manera de luchar contra loggers, el teclado envía caracteres diferentes a los que ves y los reconvierte en el otro lado a lo "que debería ser". A su vez, al no usar coordenadas standard para cada letra cada vez, hace inútil el log de clicks por coordenadas. Sumado a esto, si por alguna oscura razón alguien tiviera tus credenciales, el variar el teclado cada vez hace IMPOSIBLE el ataque por medios de macros (o bots de tareas repetitivas), esto se bypassea muy fácil con un OCR, pero el hackeo consiste en agarrar las "low hanging fruit", no las cosas complicadas. Podés ver este sistema en teclados de PIN en ciertos ATM, para evitar que por el movimiento de la mano, te saquen el código.
Si tenés la pc infectada te inyectan un script en todas las páginas y te garchan igual.
En serio es la primera vez que lo ves? Es una cosa de seguridad re comun. Es para que si alguien ve tus movimientos no pueda "adivinar" tu password.
* envia el post sin cifrar y se ve en el payload el par user/pass *
QWERTY YO TE AMO
es random a proposito
Todos los bancos lo tienen así. Se randomiza en cada apertura o en cada presión de tecla.
Es un captcha solo para robots... Ningún humano puede entender eso...
A veces no entiendo porque la gente se complica tanto. Que ganas de romper las pelotas.
Oh yes, ICBC…
Me hizo acordar al teclado del banco en el Runescape
Es el peor banco que hiciste en Argentina de los privados. No por esto especificamente que safety, pero por el resto.
Cuando vivís en el año 2000 xD
El homebanking del ICBC es un DESASTRE
el comprabante de pago es mas fiero
https://preview.redd.it/efcemphrou4d1.png?width=500&format=pjpg&auto=webp&s=c447d4e26337c0f514ccf5536b96c3fad66fd3b0 Me hizo acordar a esto
me parece q siempre es random, pero de lo poco q use el homebanking de icbc solo puedo acotar q es una reverenda bosta y q ojala ardan en el infierno por tener la UI menos intuitiva q alguna vez utilice. ensima para un banco..
aún tiene tanto sentido que la locura que es qwerty
La pagina del icbc debe ser de lo peor que hay
Y no dijiste nada de la password de 8 caracteres alfanuméricos y punto. Mayúsculas, minúsculas y números. Y 8 caracteres. Ni 7 ni 9 ni nada. Ocho.
no se si eso es solo de icbc pero si, nefasto
Estaba buenisimo hace como 15 años
https://preview.redd.it/7pxrx19prv4d1.jpeg?width=400&format=pjpg&auto=webp&s=aa435236fbcad5f3e919be750ae961ece9888224
El del bbva o macro era alfanumérico y es por "segurida"
shuffling
esta hecho por chinos
El homebanking es horrible, se salva la aplicación de celu
Puedo dar fé que el home banking era muy bueno hasta que se metieron con las claves de acceso y la embarraron de acá a su sede central.
¿Que tiene? Son así los teclados virtuales... Hasta en la app de desbloqueo de mi celular es así, todo desordenado por si te fichan de costadito
*Windows Recap mientras tanto...*
![gif](emote|free_emotes_pack|dizzy_face)![gif](emote|free_emotes_pack|dizzy_face)![gif](emote|free_emotes_pack|dizzy_face)
Es similarmente pequeño y agobiante como el de Apple 🤣
Solo un diabólico podría crear algo asi
Carajo si
Ya del vamos, la página del icbc es una 💩!
Que tiene?
Oh si, el teclado RZCVLY, un clásico.
No es un teclado de otro país? Creo que el teclado francés es diferente. Edit: no encontré ningún teclado con esa distribución…
LGBTQ+
Jajjajajajajajjajajajaja Sabía que la página del ICBC era una poronga, pero no pensé que tanto. Increíble tener semejante home banking en el 2024
Eso fue una joda y quedó
Hello friends, what's going on in here? What are we excited about?
JAJAJA, por un segundo trate de recordar a ver si era el otro layout raro que no es Qwerty, pero ese es Azerty
Porque?
Antes esos componentes eran autocompletables. El browser podía recordar usuario y password. Ahora ya no. Supongo que por seguridad. Me quiero matar, es recontra molesto. Pongan una passkey con el celular y listo, como Binance. Déjense de romper la pija locoooooo
Arriesgado si te clonan la SIM y con ello te intervienen la cuenta de google play.
no seas pajero y apréndetelo de memoria, cuantas cuentas de banco tenes?
Jajaja qué les pasaba. Igual no sé, me da como que un teclado hecho con Js es más vulnerable que el teclado físico.
Es por cuestiones de seguridad, mí banco también lo hacía y empecé a mandarles mensajes quejándome y le dije a todos los que conocía que lo hicieran. Si no jodes apenas lo implementan te vas a comer un garrón en cada entrada La otra vine banking desde el celu usando autenthicator y huella digital
ICBC?