キーロガーから保護するために仮想キーボードはもう必要ありませんか?
私の銀行は、オンラインバンキングサイトの新しいバージョンを発行しました。この新しいバージョンには、PINを入力するための仮想キーボードがありません。キーロガーからどのように保護されているのか尋ねましたが、何の返答もありませんでした。
仮想キーボードは、キーボードおよびハードウェアのキーロガーからのキーストロークを記録するマルウェアへの実装が簡単なソリューションでした。
しかし、キーロガーソフトウェアの開発者は、この新しい手法にすぐに適応しました(マウスをクリックした場所に焦点を当てたスクリーンショットを撮るだけの場合もあります)。
結局のところ、仮想キーボードが幅広いメリットを提供したかどうかは明らかではありません。それは確かにあなたのキーボードにインストールされたハードウェアのキーロガーを打ち負かすでしょうが、それはありそうな脅威ではありません。
キーロギングソフトウェアが仮想キーボードもキャプチャすることを想定していることを考えると、このテクノロジーを幅広い、ありそうなシナリオで維持することにはほとんどメリットがありません。
仮想キーボードの効果についてテストが行われました。
https://www.raymond.cc/blog/how-to-beat-keyloggers-to-protect-your-identity/
仮想キーボードは(少なくとも)2つの優れたプロがいるため、銀行サイトで一般的に使用されています。
- 彼らは単純なキーロガーからパスワードを保護します
- ユーザーがパスワードをファイルに保存できないようにする
しかし、彼らには短所があります:
- 専門のキーロガーは、パスワードをスパイすることができます(詳細な説明については、@ schroederの回答を参照してください)
- 次に、 keepass のような適切なパスワードマネージャーに保存されている複雑なパスワード(12〜20個のランダムな文字)の使用を防止します。
私にとっては、そのため私はそれらが好きではありません。しかし、セキュリティに対応していないユーザーにセキュリティを追加する可能性があることは認めざるを得ません。彼らの問題は、かなり弱いパスワード(最大6桁から8桁)を必要とするため、妥協した場合に銀行が非難される可能性があることです。
標準パスワードでは、ユーザーは強力なパスワードを選択できます(そうすることをお勧めします)。したがって、そうしなければ、妥協した場合に完全に責任を負うことになり、銀行を責めることはできません。
仮想キーボードの背後にある動機の1つは、ユーザーが過去に銀行のWebサイトにアクセスするためにサイバーカフェやキオスクなどでPCを使用し、パスワードベースの認証に依存することによってもたらされるリスクでした...モバイル/個人を持つユーザーが増えています一部の銀行サイトには両方のオプションがあり、どちらを使用するかを推奨するものもあります。銀行取引の多要素/帯域外認証/検証の大規模な使用でもリスクが減少しました。
マシンにキーロガーがインストールされている場合、より大きな問題が発生します。高度なキーロガーでは、仮想キーボードはあまり効果的ではありません。