25个回答

国内的银行软件搞所谓的“安全键盘”是不是有什么大病?

抹茶為什麼拿鐵
1115个点赞 👍

二十年前盗号木马猖獗,只需要记录键盘输入就可以轻松搞到密码,对抗方法是软键盘,记得当年qq就有这种功能。

对抗软键盘的方法是鼠标位置记录,可以通过鼠标移动的相对位置推测密码,对抗方法是乱序软键盘,当年的网易梦幻西游就是这么干的。

对抗乱序软键盘的方法也有,我在黑客x档案上看到过,那就是在点击鼠标时截图。似乎有个对抗方法是在点击的瞬间让软键盘上的字符全部消失,截图只能看见空白键盘。(那个时代录屏非常困难,因为电脑速度太慢了,会产生各种异常现象)

之后的攻防我就不清楚了,因为网易祭出了绝招——将军令,也就是动态口令,这一招到现在还管用。


在手机上盗号原理是一样的,记录键盘输入+截图。

不过安卓软件有权禁止截图录屏,现在大多数网银都这么干。绕过截图限制的高权限也可以检测出来,比如支付宝能检出USB调试,一些网银会拒绝在root环境下运行。

唯有第三方键盘输入防不胜防,因为大多数输入法会上传你的输入内容。他们反复强调这是安全的,但总会被抓到漏洞。自带安全键盘是一种成本低效率高的优秀解决方案。

当然,最终转账时还是靠动态口令把关。

又及,乱序键盘还意外对抗了一种曾经问题不大,但逐渐成为问题的盗号方式:偷窥盗号。

偷窥盗号,就是站在你身后看你输入了什么。现在到处都是摄像头,已经不需要真人站在你的身后偷窥了,截取一段录像反复分析你的动作也不是问题,防不胜防。

有趣的是,当年乱序软键盘其实不能防偷窥,毕竟屏幕那么大,现在屏幕变小反而有了奇效。


不过软硬件工程师再怎么努力,也防不了降维打击,那就是网络诈骗,但这可能也说明了一个问题:在大家的努力下,传统盗号方式的效率降低了,才使得诈骗问题成为人们关注的焦点。


题主这种“没出事凭什么管我,出了事凭什么不管我”的巨婴思维,才是真正的大病,可惜社会太温柔,没把你淘汰掉。

射命丸文字游戏
自由评论 (0)
分享
Copyright © 2022 GreatFire.org