Sin teclado virtual en el sitio del Banco Agricola

[Darkness]

Pero esto sí puede ser peligroso si se mandan las variables de login de una cuenta financiera sin seguridad HTTPS (por ejemplo desde el disco local). Los datos quedarían en el ISP, a ver si no hubiera alguien allí esperando a ver esa clase de datos, además de que si se hace en una red inalámbrica, con poca seguridad, etc., mandar esto sin encriptar sería arriesgar nuestros propios datos porque cualquier buen conocedor o administrador de redes puede sin dificultad interceptar, almacenar y leer con naturalidad esos datos.

Es peligroso independientemente de si el banco lo acepta o no, porque de por sí estamos enviando nuestros datos desprotegidos.

------------------------------------------
------------------------------------------
------------------------------------------

Aunque de todas formas creo que lo anterior no importa porque se está conectando a un sitio HTTPS, así que tiene que haber seguridad al fin de cuentas.

Naaa cipote no sabes lo que decis...

ademas si el psw de BA no importa si va en minusculas o mayusculas.... acaso crees que deverdad encriptan....

[Black Hawk]

Yo acabo de entrar a la e-banca y mi script sigue funcionandome....no se a cual script te refieres?

al tuyo.. a mi ya no me funciona en chrome :S

---edit---

al parecer fué algo de caché porque solo la borré en el chrome, y ya funcionó de nuevo.. 
mil disculpas

[stoke]

Apoyo a los compañeros, reverenda tonteria, y lo peor de todo es que hay gente que asegura que es seguro!!

[h1mur4]

Apoyo a los compañeros, reverenda tonteria, y lo peor de todo es que hay gente que asegura que es seguro!!

Ya había visto este tema pero no me llamaba la atención entrar , ahora que entre a mi cuenta del BAC me doy cuenta que es necesario opinar que es una basura a quien se le ocurre esto, awevo que cagada…

[hkadejo]

Supongo que la intencion de tecladito este fue buena, pero eso no quita que sea molesta...bueno ojala para el proximo cambio que hagan sea mejor.

[fre_saga]

que segurida hay q no capturen en las cookies q las claves para ingresar los datos personales a unq utilises el teclado virtual
por mi entre mayor segurida hay mejor pero no creo mucho en la utilizacin del teclado virtual sea un buen filtro de segurida

[juanca]

Un comentario:

Cisco en su ACS server para enviar las credenciales, la pagina carga un applet de java (cifrado por supuesto) y a travez de ese applet se introduce usuario y contraseña. Y asi como el BA esta bien, pero deja rastros de como trabaja ese teclado virtual. Necesitan trabajar mas esa parte, y siempre que usan una maquina extraña usen la opcion de borrar cache en cualquier navegador una vez ya hayan realizado las transacciones en cualquier e-banca

[The_Pipas]

aparte que el teclado virtual las letras no estan en orden es bien tedioso para mi que esa opcion del teclado virtual esta porgusto que la seguridad de cliente pajas cuando menos sientan nos a fajado $$$ no creen???

[Jaru]

citando el link que pusieron por ahi, y de verdad no habia nisiquiera visto el teclado y AWEBO que solo en mayusculas se puede escribir.

Por si fuera poco, ahora este nuevo teclado no tiene como escribir minúsculas ni letras tildadas, si tu clave era segura ahora es tan segura que ya no puedes entrar al sistema! De hecho hay símbolos como los de mayor y menor que no están en el teclado, me pregunto como los introduciría si estos formaran parte de mi clave, ahora bien, asumamos que tu clave era Info ahora esta la introducirás totalmente en mayúsculas INFO y aquí viene otro punto interesante... ahora INFO = Info = iNfo = inFo = infO = INfo = iNFo = inFO = INFo = iNFO = info... un atacante prueba una vez y cubre todos los casos posibles... vaya nueva seguridad!!
Ese último punto de hecho revela un escabroso detalle interno de la seguridad de E-Banca, la mayor parte de las personas definen sus claves en minúsculas, ahora todo se ingresa en mayúsculas, es necesario hacer una conversión en algún momento, como no pueden convertir lo que el usuario ingresa (por el bendito teclado virtual) es necesario convertir la contraseña almacenada a mayúsculas... eso es un detalle de lo increiblemente ingenuo que es E-Banca; para los que no tienen background técnico, dejenme explicarles que un sistema seguro nunca almacena las contraseñas, lo que se hace es que tomas la contraseña y la conviertes a otra cosa (un hash), un requerimiento es que no debe ser posible llegar a la contraseña a partir de éste hash, de esta forma aun cuando alguien acceda a esta información esta es totalmente inútil; cuando tu ingresas al sistema, tu clave sufre el mismo proceso y se comparan los resultados finales, si estos son iguales entonces las claves que originaron los hash son iguales y puedes pasar; esto tiene entonces la ventaja/limitante que cualquier cambio (como el uso de mayúsculas en lugar de minúsculas) hacen que se produzca un hash diferente... Qué quiero decir con esto? que a menos que ahora nadie pueda ingresar a E-Banca el mecanismo interno de almacenamiento de claves es en el mejor de los casos reversible, en el peor de los casos texto normal!! este punto es uno de los elemento MÁS INSEGUROS que puede haber.

UPDATE

PORLAGRANPUTA

y de verdad que no me habia fijado, awebo que pasaron todos los passwords a mayusculas, y si por lo menos tuvieran bien encriptados los passwords no se deberia poder hacer eso., como lo explica el quote, cuando usas un buen metodo de encriptacion, como MD5, solo podes validar encriptando, no podrias desencriptar el password.

yo uso un password con minusculas y mayusculas numeros y caracteres especiales, PERO VALIO VERGA PORQUE ESTOS PENDEJOS LO PASARON TODO A MAYUSCULAS, OSEA QUE VALE VERGA TOOOOOODO LO BASICO QUE UNO APRENDE DE SEGURIDAD  Y DE LOS ATAQUES DE DICCIONARIO Y TODA ESA PENDEJADA SI ESTOS PENDEJOS TIENEN LOS PASSWORDS REVERSIBLES O EN PLAIN TEXT.

[Jeffexe]

citando el link que pusieron por ahi, y de verdad no habia nisiquiera visto el teclado y AWEBO que solo en mayusculas se puede escribir.

Pero si haz escrito tu passwd con mayúsculas y minúsculas eso no afecta, "el sistema" hace la conversión a como es tu contraseña, aunque en el teclado solo tengas mayusculas.

[mafs503]

Pero si haz escrito tu passwd con mayúsculas y minúsculas eso no afecta, "el sistema" hace la conversión a como es tu contraseña, aunque en el teclado solo tengas mayusculas.

Segun lo que leo, eso es lo paloma e inseguro, que kien se kiera sampar a timarte solo va a poner CLAVE por ejemplo y si tu contrasenia es {clave} en minusculas sera bn facil.
Asi como MSN que alguna mara no me ha podido setiar la clave solo xq cobino mayus y minus.

[Jeffexe]

Segun lo que leo, eso es lo paloma e inseguro, que kien se kiera sampar a timarte solo va a poner CLAVE por ejemplo y si tu contrasenia es {clave} en minusculas sera bn facil.
Asi como MSN que alguna mara no me ha podido setiar la clave solo xq cobino mayus y minus.

x1000

La verdad me pareció extraño cuando me dejó entrar asi solo con "mayusculas" ,por eso lo mejor es usar caracteres y numeros también.

[mafs503]

x1000

La verdad me pareció extraño cuando me dejó entrar asi solo con "mayusculas" ,por eso lo mejor es usar caracteres y numeros también.

Awebo asi tiene que ser, porque ahora esta paloma todo Yo ni sikiera tarjeta de nada tengo pero kien sabe y algun dia  tenga

[The_Pipas]

por lo menos a ustedes los deja entra y a mi aunque se la ponga como sea que se la ponga me bloquea la cuenta asi que salgo corriendo al banco a desbloquear es un solo desmadre mejor deberian de dejarlo como antes!!

[Jaru]

por lo menos a ustedes los deja entra y a mi aunque se la ponga como sea que se la ponga me bloquea la cuenta asi que salgo corriendo al banco a desbloquear es un solo desmadre mejor deberian de dejarlo como antes!!

imprimi este thread y llevaselos a esos PENDEJOS.
p$$ta ni lo mas basico de encriptacion saben.