国内的银行软件搞所谓的“安全键盘”是不是有什么大病?
丑… 非常不好用… 还莫名其妙的把所有按键全都打乱…
- 2 个点赞 👍
现在的输入法是不是比以前的“智能ABC”好用多了?
你每次输入的东西其实都被上传到了输入法的大数据服务器里,这样输入法才能知道现在的“热词”是什么,然后更新到云词库里,让输入变得智能。
也就是说不论你输入了什么,其实你的输入法都有能力知道。问题来了,你就那么放心让他们知道?
会不会有人不小心装了山寨的输入法,导致隐私泄露?会不会有人装了有识别屏幕点击内容的木马软件导致密码泄露?
打乱位置是为了防止木马软件通过记录你点击位置来盗取你的密码,很多这种安全键盘还会去除点击动画效果的方式防止被木马软件录制到你点击了哪个按键。
总之,提高安全性的东西,还是非常有必要的。
发布于 2024-04-16 11:17・IP 属地河北查看全文>>
知乎用户 - 1 个点赞 👍
你是公司财务
你不知道的是
有人在你输入密码的时候
记下了密码
后来你有天下班
UKEY一天不小心插在电脑上
来人打开你电脑
根据记下的顺序把钱转出去了
安全键盘就是怕有人记下你按键盘的顺序记录你的密码,通过木马程序也好,远远偷窥也好
不过现在这方面各个行基本不会出现太大问题,安全键盘是十几年前案件通报的应对产物。
发布于 2024-04-20 16:13・IP 属地福建查看全文>>
琳先生 - 1 个点赞 👍
查看全文>>
知乎用户 - 1 个点赞 👍
查看全文>>
bighalo - 1 个点赞 👍
输密码的时候还好吧
我办交行信用卡的时候 输手机号码和图形验证码还用安全键盘是真的有大病...
输入邮箱用乱序键盘更是有大病,但忘了是不是交行了。
查看全文>>
GAME - 1 个点赞 👍
我也很讨厌这种sb设计,除非是银行密码,反正位数不多。但是很多时候需要你输入身份证的时候,强制用它的输入法,就很不方便了。因为我用的某输入法可以预设快捷短语,提前设置sfz=我的身份证号码,只需要敲sfz就出来号码,结果遇到这种,我还得一个个输入,生怕输错了!!!
查看全文>>
牛村长 - 1 个点赞 👍
一个信息安全方案好不好,只要看它背后的团队规模有多大。
看看国际上知名企业的安全团队规模,再看看国内一些安全方案公司的规模?
查看全文>>
糖森 - 1 个点赞 👍
因为银行都是比较正规的企业,正规的企业里有很多问题是没有办法能够真正解决的,办这个事的人很清楚,但是又不能说办不了就不办了,那就只能说我为了办这个事做了如何如何多的努力了,我在现有资源条件下已经达成了如何如何的控制手段,做这些事的初衷也不是为了解决问题,而是为了出了问题之后提供扯皮免责的依据。
然后你再反过来想,提出问题的人是谁,来解决问题的人是谁,验收结果的人是谁,如果你分别带入这几方人员之后,罗列出各自关注的重点,就会发现很多看似不合理的事情才是能够让各方满意的最优解。
最后说明一下,虽然很多事情不是从解决问题的出发点来做的,但这些解决方式也还是能够控制住很多普遍问题的,毕竟客户基础与海量实操反馈在那里,由于信息差的原因,有些功能你没有感受到或者功能完全不适用于你但适用于某些人,所以只能说你经历还少,而不能说是银行有大病。
查看全文>>
黑光银 - 0 个点赞 👍
信创的痛苦也得让一般用户了解了解
查看全文>>
知乎用户 - 1115 个点赞 👍
二十年前盗号木马猖獗,只需要记录键盘输入就可以轻松搞到密码,对抗方法是软键盘,记得当年qq就有这种功能。
对抗软键盘的方法是鼠标位置记录,可以通过鼠标移动的相对位置推测密码,对抗方法是乱序软键盘,当年的网易梦幻西游就是这么干的。
对抗乱序软键盘的方法也有,我在黑客x档案上看到过,那就是在点击鼠标时截图。似乎有个对抗方法是在点击的瞬间让软键盘上的字符全部消失,截图只能看见空白键盘。(那个时代录屏非常困难,因为电脑速度太慢了,会产生各种异常现象)
之后的攻防我就不清楚了,因为网易祭出了绝招——将军令,也就是动态口令,这一招到现在还管用。
在手机上盗号原理是一样的,记录键盘输入+截图。
不过安卓软件有权禁止截图录屏,现在大多数网银都这么干。绕过截图限制的高权限也可以检测出来,比如支付宝能检出USB调试,一些网银会拒绝在root环境下运行。
唯有第三方键盘输入防不胜防,因为大多数输入法会上传你的输入内容。他们反复强调这是安全的,但总会被抓到漏洞。自带安全键盘是一种成本低效率高的优秀解决方案。
当然,最终转账时还是靠动态口令把关。
又及,乱序键盘还意外对抗了一种曾经问题不大,但逐渐成为问题的盗号方式:偷窥盗号。
偷窥盗号,就是站在你身后看你输入了什么。现在到处都是摄像头,已经不需要真人站在你的身后偷窥了,截取一段录像反复分析你的动作也不是问题,防不胜防。
有趣的是,当年乱序软键盘其实不能防偷窥,毕竟屏幕那么大,现在屏幕变小反而有了奇效。
不过软硬件工程师再怎么努力,也防不了降维打击,那就是网络诈骗,但这可能也说明了一个问题:在大家的努力下,传统盗号方式的效率降低了,才使得诈骗问题成为人们关注的焦点。
题主这种“没出事凭什么管我,出了事凭什么不管我”的巨婴思维,才是真正的大病,可惜社会太温柔,没把你淘汰掉。
查看全文>>
射命丸文字游戏 - 660 个点赞 👍
查看全文>>
桐谷和人 - 423 个点赞 👍
很多回答最大的问题在于,漠视选择权。权力部门跟国资企业,最擅长的事情就是把安全性如纸糊一般的产品以安全的名义强加在你头上。
我上网20多年,在安全领域依然完全是个小白。但就我这个菜鸟水平,依然破解过几款平台,它们无一例外都是这种背景的。
高中时,公安部门以安全名义强制推广了一套网吧实名管理系统,用了没几天就被我突破了,实现了免费在网吧上网的自由。该系统采用本地Access数据库保存会员、余额信息,密码明文出现在exe当中。打开后给自己的账户改余额,就能一直免费上网。
该系统向网吧收费使用,而此前网吧广泛免费使用的美萍、万象,无此类低级漏洞。而由于强制推广,高度统一,我一时间在各网吧畅行无阻。
毕业后在公安部门做协警,各类内部平台、工具,bug漏洞一大堆,基于签过保密协议就不详谈了。
本地的市民投诉平台,市民热线,有个网站可供实名查询自己的投诉记录,有姓名、通话时间、投诉内容、被投诉单位、该单位反馈等各种信息。我初次使用就发现该网站的手机短信验证码登陆界面形同虚设,无鉴权过程。提交验证码,仅用于控制浏览器的url地址跳转。直接手动输入该url地址,可查看全部投诉记录。在url中写入别人的手机号,更是可以任意查看其他人的投诉记录。
疫情时强制要求使用本省统一的网络平台登记学生的学校、班级、姓名、上下学时间、乘坐的交通工具、家庭住址。但鉴权的过程仅仅是输入学生的身份证号码,无需输入任何其他信息。我立马发现问题,尝试写了个脚本,通过穷举身份证号,爆破出了几千名孩子的这些信息。这简直极大的方便了人贩子,我打电话给责任单位,要求封堵该漏洞,但到疫情结束也未封堵。
到现在为止,我依然是个安全领域的纯外行,即便如此,我依然觉得权力部门强制推广的网络设施往往安全性跟纸糊的一样。那么在专业黑客眼里,问题肯定要比这严重百倍。
还有一种情况,那就是国内这些部门喜欢重复造轮子、闭门造车。业界或者国外,已有更为成熟可靠的安全方案时,直接另行采购一套国产的,且过程中不去调查已有方案,不考察人家踩过的坑,非要把人家多年前早已走过的弯路,现在再走一遍。
基于软件的OTP、TOTP双因素认证方案,才是综合考虑了便捷、安全的最优解。而国内普遍采用短信作为双因素认证方案,又慢又不稳定。
安全键盘、乱序键盘,在我眼里纯属无用功,和普通键盘没有任何区别。因为黑客根本不会去监听键盘,而是直接监听文本框或http数据。它根本防不住黑客,只能防站在你身后人肉偷窥,但由于全新的陌生键盘布局,让你的输入速度大降,反而可能提高了被偷窥的风险。
还有,我很少在键盘输入密码,都是使用密码管理工具,生成随机密码之后,用这些工具来代为输入。但这种设计往往会妨碍这类工具的使用。
所以这种设计,对安全性的下限的提高非常有限,但对安全性的上限,却做了很大的限制。我不反对它的存在,但反对它的强制使用。任何使用所谓安全键盘的app,都应该允许用户在设置中对其关闭,改为采用更为可靠的专业密码管理工具。
编辑于 2024-05-12 01:03・IP 属地四川查看全文>>
刘祺 - 247 个点赞 👍
看你怎么理解了。
所有app都用系统键盘(含第三方输入法),如果系统键盘被发现漏洞,所有app都遭殃,更别说还可能自带后门,美其名曰改进计划,这也不是第一次爆出来。
问题是,系统升级是需要厂商配合的,万一厂商倒闭了,或者机型太老不给支持了,怎么办?app厂商只能干瞪眼。
万一用户装了什么有不良行为的第三方键盘,怎么办?
但是,你也可以反过来理解。
系统键盘,用得人很多,有问题也早发现了,出现0day的概率更低。
很多app就是三五个人的草台班子做的,自带键盘的水平可能远不如系统,不仅体验差,安全性更低。
app自带键盘属于那种可以拉低下限同时提高上限的操作,能做成什么样,安不安全,全看app厂商的本事。
大厂搞搞还行,小厂就算了。
发布于 2024-04-23 09:17・IP 属地北京真诚赞赏,手留余香还没有人赞赏,快来当第一个赞赏的人吧!查看全文>>
李明阳 - 118 个点赞 👍
你好,依据中国人民银行发布的推荐性金融标准《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)5.1.2.1节中关于安全输入的内容,移动金融客户端应当防范键盘窃听、使用自定义软键盘。
全文请参阅:行业标准信息服务平台
该项功能提供的防护能力包括但不限于以下场景:
1:用户手机自带的输入法键盘无法调起,导致用户无法输入密码,使用软件自带的软键盘可以降低适配压力,降低此类风险。
2:用户手机默认输入法被恶意软件劫持,导致用户输入的内容全部泄露,使用自定义键盘不会调用系统默认输入法,可以极大幅度降低此类风险。
3:随机打乱键盘顺序后,犯罪者无法通过仅观察用户手指动作就获取到用户密码,必须要看到屏幕内容,从而降低用户受到的风险。
编辑于 2024-04-24 07:13・IP 属地黑龙江真诚赞赏,手留余香还没有人赞赏,快来当第一个赞赏的人吧!查看全文>>
普通人 - 112 个点赞 👍
安全键盘总比驱动级劫持键盘信号来的好用
在安全键盘出现之前,windows上各种网银插件都使用驱动劫持的办法来保证输入安全
驱动劫持直接获取键盘原始输入信号,但前提是键盘是一个硬件
问题出在哪里了呢?触摸屏上的虚拟键盘不是一个硬件,驱动劫持不能用
表现就是虚拟键盘根本无法输入密码
这对于没有实体键盘的设备比如二合一平板来说是致命的,只能通过自己开发一个虚拟HID设备(常见的虚拟HID软件都被屏蔽了,只能自己写一个不在屏蔽特征里的),然后禁用驱动签名安装,才能使用这个虚拟HID设备在触摸屏上正常输入密码
安全键盘则解决了这个问题,使用触摸屏可以正常输入,所以安全键盘是好文明,不支持触摸屏的驱动劫持是坏文明
发布于 2024-05-02 06:45・IP 属地澳大利亚真诚赞赏,手留余香还没有人赞赏,快来当第一个赞赏的人吧!查看全文>>
琴梨梨OvO - 47 个点赞 👍
本人密码管理用的是 EnPass,AES256 位加密。密码长度也一般用 24 位长复杂密码,如果软件允许的话还会启用 2FA 验证。
比较起来,这些安全键盘一是因为输入位数少,二是记忆麻烦,一般只能用 6 位简单数字,更易泄密或破解。
目前好像除了招商银行(不确定)能支持外部密码软件,其他的国内银行 App 真是掩耳盗铃的行家。
编辑于 2024-04-23 10:32・IP 属地广东查看全文>>
胡工 - 15 个点赞 👍
这个功能是很好的功能,保护了你的财产安全。
1.使用第三方输入法,不能保证没有木马之类的东西。app自带键盘安全,不会被未知第三方获得输入内容
2.使用固定键盘,可以通过监控点击位置分析出输入内容。而打乱键盘,就是阻止了这种分析。连app自己都不知道下次键盘布局,第三方就绝对分析不出来了。
银行之类的app,你一年到头用不了几次,重要的不是多容易使用,而是多安全。
事实上,最好再使用与手机(用来运行app的设备)完全物理分离的方式再做一次校验,会更加安全。
发布于 2024-04-23 09:34・IP 属地广东查看全文>>
无心 - 11 个点赞 👍
查看全文>>
王先生 - 11 个点赞 👍
查看全文>>
陈葱头 - 2 个点赞 👍
首先安全键盘这个玩意是国外传进来的
当年国内银行还在到处搞什么优盘之类的外挂硬件进行登录安全验证的时候,我刚到法国注意到法国的银行根本不搞这个,直接屏幕上一个随机键盘拿来给你登录,那时候是08年
后来大概过了十年,IE终于被淘汰,手机也成为网银主流登录方式,国内银行也终于被迫放弃了优盾这类脑子被夹的验证方法(工行的优盾还是可以通过耳机口连接到手机上),用随机键盘去取代
已经进步不少了好不好!
唯一的不同是,我在法国见到的是0-9的小数字随机键盘,而这个是一个字母加数字加符号的,用来输入密码的。。。
发布于 2024-05-02 06:17・IP 属地法国查看全文>>
Enzojz - 1 个点赞 👍
查看全文>>
呆蛙 - 1 个点赞 👍
很多输入法,自带把用户的输入,推送到云端的功能。
你的账号/密码,在这些输入法公司的云端那边,都有一份记录的。
就看他们的员工,对你的账号/密码是否感兴趣。
编辑于 2024-04-27 00:34・IP 属地广东查看全文>>
灵狐技术 - 0 个点赞 👍
查看全文>>
可恶and可恨 - 0 个点赞 👍
查看全文>>
红旗漫
