V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
tony1016
V2EX  ›  奇思妙想

说实在的,银行有必要搞基于 ActiveX 或者 NPAPI 的安全密码控件吗?

  •  
  •   tony1016 · 2016-03-11 10:19:05 +08:00 · 4872 次点击
    这是一个创建于 3183 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚入安全团队不久,也可能正是因为不久,所以才会停下来思考这个问题:是否有必要??银行做这些安全控件,目的都是防止键盘窃听。但是,为了做到这一点,就需要为各个浏览器量身定做,也就造成了对于各平台各浏览器支持不全的遗憾。但是我在想:

    • 1.图形密码键盘,实际上已经可以解决键盘窃听了,且其通用性极好,虽然看似比控件安全程度低,但是真的低多少呢?
    • 2.Google , Paypal 等厂商,难道就不怕键盘窃听吗?
    • 3.现在的银行,也基本都有二次验证了(短信密码),也可以增强安全性啊?

    不知道做过安全的,或者做过调查的,有多少人的密码失窃,是因为键盘被窃听呢?

    28 条回复    2016-05-24 13:55:51 +08:00
    yeyeye
        1
    yeyeye  
       2016-03-11 11:02:49 +08:00
    近些年都很少关注 不过以前盗号都是键盘记录的 图形密码键盘就安全了?记录你点击的范围,顺便截图,完全可以自动化识别嘛!(除非你的图形键盘做得跟验证码一样变态,就没办法自动识别啦,但是也可以记录下来人工识别啊)

    除非你能做出一个防止截图的图形键盘,那还是可以考虑的,慢着!网页端又如何有权限去建造一个这样的图形键盘呢?结果又回到老话题, ActiveX,NPAPI,PPAPI ……

    而且图形键盘还有另一个问题,就是别人在你身旁的时候,你输入密码很容易被记下来(除非对方自觉转头……),因为现在的密码都不准长密码了!

    除了防止键盘记录,还有一个是加密算法,防止被窃听真实密码和算法(如果只是 web 端,总是有办法为伪造的,就算 SSL ,还可以注入 CA 证书不是么……除非指定证书链……[那就只能用外挂的方式注入浏览器了])

    现在的网银类支付类都是 HTTPS 的,劫持是不可能的,那不就只能走键盘记录,浏览器插件把你的密码转发出去或类似的方法。

    所以安全控件其实是不错的(比如我用招商的,连各类远程桌面软件都没办法输入,一下子安全感倍增)
    powergx
        2
    powergx  
       2016-03-11 11:19:25 +08:00
    有权限记录你的键盘,没法给你加一个 ca ?
    RqPS6rhmP3Nyn3Tm
        3
    RqPS6rhmP3Nyn3Tm  
       2016-03-11 11:20:33 +08:00
    前几天买 ConoHa ,招商的 Verified by Visa 网关用的还是 IE Only 的控件,支付还得开个虚拟机。
    招行的自有的支付网关还是不错的,不知道为什么 VbV 这么烂。
    mgcnrx11
        4
    mgcnrx11  
       2016-03-11 11:28:56 +08:00
    联想到的:为什么防止键盘窃听不直接做在浏览器内,作为默认开启功能,针对所有 input 类型是 password 的输入框开启?
    sobigfish
        5
    sobigfish  
       2016-03-11 11:49:03 +08:00
    前端时间刚看了个,银联的, https://merchant.unionpay.com
    OS X 下的 控件,发现了在表单里有个 hidden 的 input
    他们所谓的安全控件就是提交时把控件的内容复制到 hidden 的那个 input 里...
    W.T.FFFFFF!
    tony1016
        6
    tony1016  
    OP
       2016-03-11 11:59:00 +08:00
    @yeyeye 图形键盘也可以做到每次重排位置的,所以截图分析位置,就可以防御了
    tony1016
        7
    tony1016  
    OP
       2016-03-11 11:59:50 +08:00
    @powergx ca 倒是没关系,因为银行在密码数据上,除了依靠 SSL 外,还有单独的点对点加密
    est
        8
    est  
       2016-03-11 12:00:36 +08:00
    没有必要。但是领导觉得有必要。你坳得过领导吗?

    “小李啊,隔壁银行都支持什么 active 叉,我们也要支持。”
    tony1016
        9
    tony1016  
    OP
       2016-03-11 12:02:15 +08:00
    @mgcnrx11 还是有开源内核的 chrominum 。这本身属于浏览器实现问题。
    tony1016
        10
    tony1016  
    OP
       2016-03-11 12:03:57 +08:00
    @sobigfish 应该没那么怂吧。应该是把加密完的数据回填 hidden 域
    tony1016
        11
    tony1016  
    OP
       2016-03-11 12:06:04 +08:00
    @est 如果是领导,他就不知道这个东西叫 active 叉,他会说:“浏览器插件……”,云云
    caoyue
        12
    caoyue  
       2016-03-11 12:10:08 +08:00
    没必要,但是客户有(看起来)安全的心理需要……
    iyaozhen
        13
    iyaozhen  
       2016-03-11 13:13:45 +08:00
    记得看过一篇文章,一部分原因是需要做双向验证。网站的 HTTPS 化只能解决用户识别网站正确性的需求,无法解决服务端验证客户端身份的需求。

    好像知乎上还有一个问题,“为什么招商银行的掌上生活 APP 比别的银行都做的好?” 有当事人 PM 回答过,答案里面就由一些安全问题和用户便捷性的博弈。
    shiji
        14
    shiji  
       2016-03-11 13:18:57 +08:00 via Android
    @iyaozhen 纯粹的双向验证只要在本地安装一个证书就可以了。 升级一点就把证书放在 U 盾里,这些都不需要插件支持
    yeyeye
        15
    yeyeye  
       2016-03-11 13:37:02 +08:00
    @tony1016 难道你可以动态换位置 我就不能识别嘛 我已经说得很清楚了 换位置也是可以识别出来的啊 找图找色技术也是很成熟的技术啊 找个坐标不要太容易了!
    tony1016
        16
    tony1016  
    OP
       2016-03-11 14:36:49 +08:00
    @yeyeye 我同意你的说法,安全本身就是个相对的概念。只是某个黑客是否有必要这么做,对于一般人,钓鱼可能比这个来的容易
    yeyeye
        17
    yeyeye  
       2016-03-11 14:51:50 +08:00
    @tony1016 安全是相对的 但是多做一些措施 会更加安全 就比如说有一群人觉得杀毒软件没必要 然后你会发现过段时间就有人来 V2EX 问 怎样消毒(杀毒) 这还是裸奔后知道中毒了 不知道的中毒一万年都不知道
    julor
        18
    julor  
       2016-03-11 14:57:21 +08:00 via Android
    干嘛要密码?以前中行有个 60 秒随机密码。我觉得这挺好的!支付时候用短信等确认!最重要的是尽快对接手机支付!
    czb
        19
    czb  
       2016-03-11 15:01:27 +08:00 via Android
    大通银行这些就没
    chase.com
    lshero
        20
    lshero  
       2016-03-11 15:58:49 +08:00
    U 盾需要驱动和插件的尤其是中国特色的交互 U 盾,液晶屏上显示交易信息,防止浏览器前端交易信息被篡改,需要用户按一下授权,防止远程控制之类的场景
    ericls
        21
    ericls  
       2016-03-12 02:48:38 +08:00
    有法律保护 不怕
    ericls
        22
    ericls  
       2016-03-12 02:50:52 +08:00
    核心问题是你的私有合法财产是受法律保护的

    就像生命一样 我从来不担心我的衣服不防砍

    又不是原始社会 谁抢到算谁的
    tony1016
        23
    tony1016  
    OP
       2016-03-12 12:17:16 +08:00
    @ericls 话是如此,但是,一旦上法庭,被告是谁,还不是银行。那么银行,你能胜诉吗?
    ericls
        24
    ericls  
       2016-03-12 13:25:20 +08:00
    @tony1016 那就是法庭的问题了
    xiya
        25
    xiya  
       2016-04-26 11:20:16 +08:00
    建行就没有用控件。。
    lzturbo
        26
    lzturbo  
       2016-05-24 13:20:23 +08:00
    @yeyeye 银行用 ActiveX 是最傻的行为。。。能有木马整天在那里截屏和监听鼠标和键盘事件, 100 个 ActiveX 都没有。
    lzturbo
        27
    lzturbo  
       2016-05-24 13:29:49 +08:00
    @yeyeye 银行用 ActiveX 是最傻的行为。。。能有木马整天在那里截屏和监听鼠标键盘事件, 100 个 ActiveX 插件都没用。所以:一不要中木马,二最好不要用 IE 和类 IE 浏览器,因为经常跑 IE 的电脑基本都中木马(因为 ActiveX 权限太大,而用户很少关心这些权限设置)。而使用 ActiveX 是迫使用户用 IE ,所以用 ActiveX 只会增加风险。强烈建议使用 Chrome 浏览器,远离 IE 和类 IE 浏览器,特别要远离 ActiveX 插件。
    yeyeye
        28
    yeyeye  
       2016-05-24 13:55:51 +08:00
    @lzturbo 不想解释了 你爱咋咋地
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1036 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 76ms · UTC 20:00 · PVG 04:00 · LAX 12:00 · JFK 15:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.