Saludos laneros, hace tiempo he leido en estos foros que debaten sobre las debilidades observadas en diferentes teclados virtuales, así que decidi crear uno.

Veran el objetivo de los teclados virtuales es evitar los keyloggers, pero como ustedes saben todos los teclados virtuales son sensibles a los screenhots o videos, o a troyanos que capturen las cordenadas del mouse .

Pues bien mi idea es precisamente esa "NO MOVER EL MOUSE", al no mover el mouse estamos evitando los videos y los scrennhots y los cazacoordenadas, por ello pienso que esta es la mejor contramedida para evitar que vulneren un teclado virtual: "NO MOVER EL MOUSE".

Ahora bien ustedes se preguntaran, pero entonces cómo me ubico en los numeros para introducir el pin? pues la idea es no moverse la idea es que puedas introducir lo digitos sin mover el mouse. ¿cómo? sí asi como lo leen para logra esto he creado un contador de clicks -countlick que permite que introduzacmos los digitos sin mover el mouse. Mi teclado trabaja asi:
1 =un click
2 =dos clicks
3 =tres clicks
4 =cuatro clics consecutivos.. y asi sucesivamente, ahora para introducir el cero es con el click derecho
0 =click derecho.

Muy bien pueden ensayar visitando este link, para que vean el pin que introdujeron deben dar click en el boton aceptar, obviamnete eso es solo para que poa ahora ustedes lo vean pero al aplicarlo realmente nunk se mostraría el pin, pero por ahora nos sirve de entrenamiento.

http://www.tecnisof.com/teclado.html

En caso de que no les cargue deberan instalar el java desde aquí www.java.com/es/ (http://www.java.com/es/)

y luego cargar de nuevo.
Espero les guste. y agradezco su comentarios.

qwasar qwasar@gmail.com

Y si el troyano captura los clicks?

El no mover el mouse no es garantia de que no van a capturar nada. El troyano puede activarse cuando abra la pagina donde esta el teclado virtual y comenzar a capturar cosas, en este caso los clicks.

Y si el troyano captura los clicks?

El no mover el mouse no es garantia de que no van a capturar nada. El troyano puede activarse cuando abra la pagina donde esta el teclado virtual y comenzar a capturar cosas, en este caso los clicks.
Es lo que uno piensa de primera instancia, pero realmente los keyloguers solo mostrarian una pila de clicks, ya que ellos no capturan las pausas menores a un segundo.

Además pensé tambien en generar un serie de clicks en forma automatica luego de ingresar el pin, por lo que el log del troyanop o keyloguerr no sabra cuales son los clicks reales. incluso puedo generar una pila de clicks antes de ingresar el pin real.

Realmente he ensayado varios keyloguers y ninguno me ha podido encontrar el pin.
Claro que me encataría mucho que lo intentaras y me contaras.

Agradezco tus comentarios

Parece interesante, y este sistema no se puede aplicar a los teclados virtuales actuales. Es decir crear una secuencia automatica antes y despues de ingresar el Pin siendo transparente al usuario

Parece interesante, y este sistema no se puede aplicar a los teclados virtuales actuales. Es decir crear una secuencia automatica antes y despues de ingresar el Pin siendo transparente al usuario

Porsupuesto, de hecho esa es la idea por eso espero cualquier comentario ya que si entre todos aportamos ideas se puede perfeccioanr aún más

Es lo que uno piensa de primera instancia, pero realmente los keyloguers solo mostrarian una pila de clicks, ya que ellos no capturan las pausas menores a un segundo.

Además pensé tambien en generar un serie de clicks en forma automatica luego de ingresar el pin, por lo que el log del troyanop o keyloguerr no sabra cuales son los clicks reales. incluso puedo generar una pila de clicks antes de ingresar el pin real.

Realmente he ensayado varios keyloguers y ninguno me ha podido encontrar el pin.
Claro que me encataría mucho que lo intentaras y me contaras.

Agradezco tus comentarios

Los keyloguers/troyanos actuales puede que tengan nada al respecto, pero si los bancos implementaran ese sistema al otro dia ya lo tendrian. Hecha la ley, hecha la trampa.

Yo la verdad creo que no hay forma de evitarlo, una vez el PC del usuario este comprometido el troyano puede hacer lo que se necesite para contrarrestar las medidas que ud tome y desafortunadamente no hay metodo de "encripcion" para las entradas de usuario.

Los keyloguers/troyanos actuales puede que tengan nada al respecto, pero si los bancos implementaran ese sistema al otro dia ya lo tendrian. Hecha la ley, hecha la trampa.

Yo la verdad creo que no hay forma de evitarlo, una vez el PC del usuario este comprometido el troyano puede hacer lo que se necesite para contrarrestar las medidas que ud tome y desafortunadamente no hay metodo de "encripcion" para las entradas de usuario.
Haber , yo no estoy diciendo que esta sea la solución definitiva, pero estoy seguro que de todos los teclados virtuales que ustedes y yo conocemos este es que podemos decir ofrece menos posibilidades de fraude como los demás.

Recuerden que ante un video, de nada sirve cambiar en forma aleatoria las posciones de las teclas, ni cambiar los números por asteriscos.

En cambio con este teclado, almenos estamos eliminadno las amenazas más conocidas hasta ahora.

Ahora bien recuerden como dije al principio que este teclado sólo es la primera parte ahora voy con la segunda.

Supongamos que algún mago en programación logra ahcer un keyloguerr que identifique los clicks reales delos qeu no lo son y que no se equivoque en las pausas para saber que cantidad de clicks representan un número; pero supongamos pues que tal amigo existe y lo logra. aquí es donde entra la segunda contramedida y por ello quiero escribir en mayusculas cual es su esencia:

"ASÍ OBTENGAN EL PIN DE NADA LES SERVIRA"
Cómo así?, asi como lo leen, pero para no alrgar más este mensaje, los invito a que descarguen el adjunto, donde explico en detalle en que consiste esta contramedida, y repito si se aplican ambas contramedidas la del teclado y la otra que explico en el adjunto, estariamos ofrecendo las mejores soluciones en transacciones en internet hasta ahora.
Porfavor leanlo y descarguenlo.
Gracias de nuevo por sus comentarios

Haber , yo no estoy diciendo que esta sea la solución definitiva, pero estoy seguro que de todos los teclados virtuales que ustedes y yo conocemos este es que podemos decir ofrece menos posibilidades de fraude como los demás.

Recuerden que ante un video, de nada sirve cambiar en forma aleatoria las posciones de las teclas, ni cambiar los números por asteriscos.

En cambio con este teclado, almenos estamos eliminadno las amenazas más conocidas hasta ahora.

Ahora bien recuerden como dije al principio que este teclado sólo es la primera parte ahora voy con la segunda.

Supongamos que algún mago en programación logra ahcer un keyloguerr que identifique los clicks reales delos qeu no lo son y que no se equivoque en las pausas para saber que cantidad de clicks representan un número; pero supongamos pues que tal amigo existe y lo logra. aquí es donde entra la segunda contramedida y por ello quiero escribir en mayusculas cual es su esencia:

"ASÍ OBTENGAN EL PIN DE NADA LES SERVIRA"
Cómo así?, asi como lo leen, pero para no alrgar más este mensaje, los invito a que descarguen el adjunto, donde explico en detalle en que consiste esta contramedida, y repito si se aplican ambas contramedidas la del teclado y la otra que explico en el adjunto, estariamos ofrecendo las mejores soluciones en transacciones en internet hasta ahora.
Porfavor leanlo y descarguenlo.
Gracias de nuevo por sus comentarios



Me parece excelente la medida, por lo menos habria que esperar a que le busquen la forma de romperlo, pero me parece bastante robusta.

mE PARECE

Cual es el punto de subir un .doc? porque no simplemente explica aqui cual es la idea? Comenzando porque abrir archivos .doc de procedencia desconocida no es recomendable.

Lo de "inyectar" clicks falsos para confundir al troyano no ayuda mucho, hay que recordar que el PC ya esta comprometido, asi que si ud se pone a inyectar cosas el troyano puede irse cada vez a mas bajo nivel hasta finalmente llegar al driver del mouse y leer de ahi.

Y bueno, la idea de la lista de numeros que solo se usan una vez fue lo que yo le dije el año pasado cuando creo su foro de como juakear Conavi. Eso no es nada nuevo, esta implementado en Europa desde muchos años. Es una solucion mucho mas segura en lugar de andar gastandole tiempo a teclados virtuales super complicados que ni el usuario va a entender como funcionan, a ver que dice mi mama cuando le diga que tiene que meter el pin en clave morse.

Cual es el punto de subir un .doc? porque no simplemente explica aqui cual es la idea? Comenzando porque abrir archivos .doc de procedencia desconocida no es recomendable.

Lo de "inyectar" clicks falsos para confundir al troyano no ayuda mucho, hay que recordar que el PC ya esta comprometido, asi que si ud se pone a inyectar cosas el troyano puede irse cada vez a mas bajo nivel hasta finalmente llegar al driver del mouse y leer de ahi.

Y bueno, la idea de la lista de numeros que solo se usan una vez fue lo que yo le dije el año pasado cuando creo su foro de como juakear Conavi. Eso no es nada nuevo, esta implementado en Europa desde muchos años. Es una solucion mucho mas segura en lugar de andar gastandole tiempo a teclados virtuales super complicados que ni el usuario va a entender como funcionan, a ver que dice mi mama cuando le diga que tiene que meter el pin en clave morse.
Pues tu Mama va a decir lo mismo que la mia "ES FÁCIL" hasta mi abuelita lo ha ensayado. Por cierto no sé con quien me confundes pero haya tú.

La idea de las lista ni se la copie a tí, ni aningún Europeo, es mi creatividad, pero me alegra que alguién haya pensado cosas similares , eso me da mucha satisfacción personal.

Además el banco puede ofrecerle al usuario la posibilidad de que él elija cual teclado usar si el tradicional o este, amedida que se familiarice con él, encontrará que realmente es muy fácil. Todas las personas que lo han ensayado les parece muy fácil, de hecho te invito a que leas el foro: www.tecnisof.com/foro.html (http://www.tecnisof.com/foro.html)

Y te recuerdo esta no es la contramedida perfecta, pero si la mejor de las vistas comparandola con otros teclados. En efecto es similar al código morse, por eso tu mama y tu abuelita lo encontarrán familiar.

P.D: Un consejo, si usted es el moderador del foro, le aconsejo cambie su actitud agrasiva hacia personas que sólo deseamos compartir ideas, pues esa es la idea de los foros. Por eso se llama foro. Gracias por tus comentarios

Me parece excelente la medida, por lo menos habria que esperar a que le busquen la forma de romperlo, pero me parece bastante robusta.

mE PARECE Saludos!
En verdad aprecio tus comentarios!

Acontinuación deseo compartirte una respuesta dada en mi foro www.tecnisof.com/foro.html (http://www.tecnisof.com/foro.html)
por un verdadero experto en seguridad informática:

Bueno, la solucion del teclado virtual en sus caracteristicas poco vistas en el mercado, es mas en ningun lado del mundo o por lo menos doy evidencia de eso y por mi experiencia en el area de delitos informaticos y casos de estafas informaticas, veo un gran futuro a este tipo de desarrollos ya que los programas espias y casos de Phising o incluso intruciones en profundidad a sistemas de bancos los cuales con gran esfuerzo an querido asegurar con poco exito y con gran demanda de inconformidad mundial con respecto a sus clientes potenciales, podemos analizar que este producto es el mas complejo a la hora de alterar, modificar incluso clonar, ya que sus sistema de tacto virtual ayuda a engañar a los software espias o intrusiovos a la hora de querer capturar nuestra clave o pin segun el caso, analizando el teclado vi que incluso no es necesario tener un teclado virtual, con este sistema que la verdad en mi concepto lo enfocaria mas a algo similar a una huella unica de usuario podria revolucionar el mundo de la autenticaion en sistemas virtuales donde el reisgo de perdidas millonarias es comun y diario.
un saludo al autor del teclado y mis mas sinceras felicitaciones.
Mauricio Rodriguez
Auditor interno SGSI
rrodriguez@das.gov.co.
Desarrollo Tecnologico
Colombia - Bogota.

Estas y otras respuestas las puedes ver en el foro www.tecnisof.com/foro.html (http://www.tecnisof.com/foro.html)

También he creado foros en 2 universidades y he recibido excelentes aportes por parte de analistas y estudiantes de ingenieria.

Cómo lo he dicho antes, no se trata de decir que es la medidad perfecta, pero si dificulta mucho más el trabajo de los fraudolentos





Att: el Qwasar qwasar@gmail.com

Pues tu Mama va a decir lo mismo que la mia "ES FÁCIL" hasta mi abuelita lo ha ensayado. Por cierto no sé con quien me confundes pero haya tú.


No lo creo. A la gran mayoria de usuarios "normales" lo que mas les cuesta aprender a usar es el mouse, algo tan sencillo como hacer doble-click es algo que les da mucho trabajo. Ahora decirles que hay que darle 9 clicks para representar el numero 9 lo veo poco amigable.


La idea de las lista ni se la copie a tí, ni aningún Europeo, es mi creatividad, pero me alegra que alguién haya pensado cosas similares , eso me da mucha satisfacción personal.


Estando tan empapado del tema se me hace raro que no haya comenzado por investigar las medidas que toman en diferentes paises del mundo.

P.D: Un consejo, si usted es el moderador del foro, le aconsejo cambie su actitud agrasiva hacia personas que sólo deseamos compartir ideas, pues esa es la idea de los foros. Por eso se llama foro. Gracias por tus comentarios

Ningun comentario es agresivo, son simples criticas, si ud expone una idea aqui que espera entonces que la gente le responda? Dado su historial en esta pagina deberia cerrar este hilo, sin embargo ahi esta abierto y le estoy aportando comentarios. La idea tecnicamente tiene sus meritos, pero una implementacion como tan en el mundo real la veo poco viable.

No lo creo. A la gran mayoria de usuarios "normales" lo que mas les cuesta aprender a usar es el mouse, algo tan sencillo como hacer doble-click es algo que les da mucho trabajo. Ahora decirles que hay que darle 9 clicks para representar el numero 9 lo veo poco amigable.




Estando tan empapado del tema se me hace raro que no haya comenzado por investigar las medidas que toman en diferentes paises del mundo.



Ningun comentario es agresivo, son simples criticas, si ud expone una idea aqui que espera entonces que la gente le responda? Dado su historial en esta pagina deberia cerrar este hilo, sin embargo ahi esta abierto y le estoy aportando comentarios. La idea tecnicamente tiene sus meritos, pero una implementacion como tan en el mundo real la veo poco viable.
Estimado Moderador agradezco sus comentarios, pero permitame indicarle de nuevo que tal y como lo dicen los bancos "LA SEGURIDAD ES UNA RESPONSABILIDAD COMPARTIDA", por tanto el usuario debe colaborar con ello, dar clicks no es ningún conflicto, por cierto que lo máximo serian 9 click en caso deque ese sea uno de los digitos, pero una persona no se la pasa todo el dia haciendo transacciones, asi que dar unos cuantos clicks sabiendo que esto me brinda más seguridad, no es ninguna molestia para un usuario normal.

No obstante y ya lo recalque con anterioridad el banco puede ofrecerle al usuario la posibilidad de elegir entre el teclado tardicional y este, pero estoy convencido de que con el tiempo la gente se va familiarizando y se vuelve algo habitual.

Recuerda la idea es ofrecerle posibilidades a los usuarios y dar unos cuanos clicks no es ningún problema.

Por cierto te doy un dato de una fuente muy confiable: la mayoria de los pines que eligen los usuarios en promedio son digitos inferiores al 5.

Si miras en los otros foros donde estan mirando el teclado veras que la respuesta hasido muy positiva, asi que no deberias de complicarte tanto, incluso hasta los niños lo han entendido a la pefección.

Pero porsupuesto cualquier comentario es digno de tenerse en cuenta por lo que te agradezco.

generar una serie de click. Eso no presenta ningun problema para un juaker Saber cuanto click ¡ Facil !. amigo me gusta tu idea pero es casi imposible que los juaker no penetren algo.
"A mayor problemas, mejores y facilies soluciones".
Los hacker se siente mas motivados a atacar a grandes seguridades.
-------------------------------------------------------------------------------------------------------
la mayoria de los pines que eligen los usuarios en promedio son digitos inferiores al 5.
R:/ estas dando info valiosa para que tus clientes con mas razon no tomen este servicio ya que estas reduciendo el trabajo al que quiera romper tu barrera.
-------------------------------------------------------------------------------------------------------
¿la serie de Clik que envias sera en random?

generar una serie de click. Eso no presenta ningun problema para un juaker Saber cuanto click ¡ Facil !. amigo me gusta tu idea pero es casi imposible que los juaker no penetren algo.
"A mayor problemas, mejores y facilies soluciones".
Los hacker se siente mas motivados a atacar a grandes seguridades.
-------------------------------------------------------------------------------------------------------
la mayoria de los pines que eligen los usuarios en promedio son digitos inferiores al 5.
R:/ estas dando info valiosa para que tus clientes con mas razon no tomen este servicio ya que estas reduciendo el trabajo al que quiera romper tu barrera.
-------------------------------------------------------------------------------------------------------
¿la serie de Clik que envias sera en random?

Gracias por tus comentarios!
Tal y còmo lo menicone antes, en ningùn momento he afirmado que esta sea la soluciòn definitiva, pero si la menòs insegura de los teclados virtuales que hemos visto.
Recuerda que el objetivo es acompañar esta soluciòn con la segunda contramedida que viene explicada en detalle en el adjunto que he colocado en un mensaje anterior. estoy convencido que de acompañar esta soluciòn con la segunda conmtramedida, se minimizarà muchìsimo los fraudes por internert.

Gracias por tus comentarios se nota que te gusta bastante la seguridad informàtica

Bueno, la solución de dar clicks es novedosa, e incluso facil de asimilar por muchos usuarios, y mas aun si estos estan familiarizados con el uso del pc y el internet.

El problema sería acostumbrar a muchisimos usuarios que hasta les queda complicado inicar sesión en su cuenta de correo, si no tienen instalado en su pc un programa como outlook o similares.

Por otro lado, ya usted mismo ha dicho en diversas ocaciones que el sistema no es completamente fiable, que ...., y obviamente va a ser victima de nuevos keyloger, troyanos, ....., entonces, cual sería el sentido de implementar un sistema de estas caracteristicas si se puede predecir su falla en muy poco tiempo?, mas aun cuando hay que invertir $$$ en educar a las personas.

Además desde hace varios años yo conozco el sistema de la lista de códigos que se desechan una vez usados (hasta algunas empresas colombianas usan ese sistema para que sus empleados ingresen a su intranet). Y esto me hace pensar el porque las bancos no implementan este sistema que esta probado que funciona mucho mejor que los teclados virtuales, segundas claves, restricciones en transferencias, .....

Pues lo unico que se me ocurre sería que primero les sería muy costoso implementar todo el sistema de generación de claves a cada usuario registrarlas en el sistema e irlas renovando cada cierto periodo de tiempo, ademas de los costos de envio, y por supuesto la capacitación a los clientes y a las personas de soporte tecnico.

Bueno, esa es solo mi opicion, cada empresa tendra su departamento de seguridad y ellos sabran porque no lo han hecho.

PD: Son solo comentarios, no es nada contra usted o su sistema, es mas me causa mucha alegria ver que hay personas imaginando, desarrollando y proponiendo nuevos metodos para mejorar cada dia la seguridad en la red, y sobretodo en las transacciones.

Otra cosa, por aca solo he leido comentarios y criticas constructivas, por favor no lo tomes como agresividad, o es que solo publicaste esto para recibir palmaditas en la espalda de felicitaciones?, yo quiero creer que no.

Bueno, la solución de dar clicks es novedosa, e incluso facil de asimilar por muchos usuarios, y mas aun si estos estan familiarizados con el uso del pc y el internet.

El problema sería acostumbrar a muchisimos usuarios que hasta les queda complicado inicar sesión en su cuenta de correo, si no tienen instalado en su pc un programa como outlook o similares.

Por otro lado, ya usted mismo ha dicho en diversas ocaciones que el sistema no es completamente fiable, que ...., y obviamente va a ser victima de nuevos keyloger, troyanos, ....., entonces, cual sería el sentido de implementar un sistema de estas caracteristicas si se puede predecir su falla en muy poco tiempo?, mas aun cuando hay que invertir $$$ en educar a las personas.

Además desde hace varios años yo conozco el sistema de la lista de códigos que se desechan una vez usados (hasta algunas empresas colombianas usan ese sistema para que sus empleados ingresen a su intranet). Y esto me hace pensar el porque las bancos no implementan este sistema que esta probado que funciona mucho mejor que los teclados virtuales, segundas claves, restricciones en transferencias, .....

Pues lo unico que se me ocurre sería que primero les sería muy costoso implementar todo el sistema de generación de claves a cada usuario registrarlas en el sistema e irlas renovando cada cierto periodo de tiempo, ademas de los costos de envio, y por supuesto la capacitación a los clientes y a las personas de soporte tecnico.

Bueno, esa es solo mi opicion, cada empresa tendra su departamento de seguridad y ellos sabran porque no lo han hecho.

PD: Son solo comentarios, no es nada contra usted o su sistema, es mas me causa mucha alegria ver que hay personas imaginando, desarrollando y proponiendo nuevos metodos para mejorar cada dia la seguridad en la red, y sobretodo en las transacciones.

Otra cosa, por aca solo he leido comentarios y criticas constructivas, por favor no lo tomes como agresividad, o es que solo publicaste esto para recibir palmaditas en la espalda de felicitaciones?, yo quiero creer que no.
Saludos sarcoleto, gracias por tus comentarios muy interesantes por cierto.

En efecto, el objetivo es que entre todos demos opiniones que contribuyan a mejorar las transacciones por internet. Y esa fue mi intención al crear este teclado, pues con sinceridad te digo que a diferencia de este todos los teclados que hemos conocido hasta la fecha son vulnerables a un simple video. por ejemplo si vas al de bancolombia:
https://bancolombia.olb.todo1.com/servlet/msfv/B0007/Login/loginFrame.htm veras que cambia los digitos por asteriscos, cosa que en verdad no sirve para nada, e incluso asi el teclado cambiará en forma aleatoria despues de cada click de nada serviría eso contra un videito.

Por eso la intenci´n de este teclado que he construido es minimizar un poco estas debilidades, en especial la del video, ya que un video o capturador de pantalla no puede obtener el pin con este teclado.

NO se trata de la solución perfecta, se trata más bien de brindarle más opciones de seguridad a los usuarios y si este teclado logra en parte esto , entonces habrá cumplido su objetivo de "dificultar la obtención del pin por los metodos conocidos"

De nuevo mil gracias a tí y a todos los usuarios por sus valiosos aportes

Hola Mr. Qwasar, una vez más analizando el teclado, lastimosamente no pude entrar a la pagina en cuestión para ver la interfaz planteada. Sin embargo, los usuarios hoy en día estarían bastante molestos al usar el sistema nuevo, y seguramente generarán más de un bloqueo.

En el tema anterior a este se planteo la solución de davivienda con el listado de codigos que aparece en todas las tarjetas debito, que se llaman comúnmente segunda clave, la cual es aleatoria y solo aparece en la tarjeta del cliente. El sistema solicita dicha clave en el momento de ingresar. Lo anterior para mostrar cual opción ya existe en el mercado, con respecto a códigos usables, aleatorios.

En todo caso me parece complejo de usar el sistema de los clics (en el caso del 9...etc), podría ser mejor una clave morse con los clics del mouse, ya que solo tendrían que usar clic o doble clic... y cada número se genera con una combinación de 3 (caracteres[...] [-..][.-.][-.-], etc ) sin embargo dicha solución aunque más rápida de digitar por clics, es mucho más complicada.

En cualquiera de los casos se puede desarrollar un troyano que lea los clics, por lo cual (si la idea del sistema es evitar los troyanos) el sistema sería ineficiente.

Ahí le dejo mi aporte.

Fireman
:llamas2::llamas:

Hola Mr. Qwasar, una vez más analizando el teclado, lastimosamente no pude entrar a la pagina en cuestión para ver la interfaz planteada. Sin embargo, los usuarios hoy en día estarían bastante molestos al usar el sistema nuevo, y seguramente generarán más de un bloqueo.

En el tema anterior a este se planteo la solución de davivienda con el listado de codigos que aparece en todas las tarjetas debito, que se llaman comúnmente segunda clave, la cual es aleatoria y solo aparece en la tarjeta del cliente. El sistema solicita dicha clave en el momento de ingresar. Lo anterior para mostrar cual opción ya existe en el mercado, con respecto a códigos usables, aleatorios.

En todo caso me parece complejo de usar el sistema de los clics (en el caso del 9...etc), podría ser mejor una clave morse con los clics del mouse, ya que solo tendrían que usar clic o doble clic... y cada número se genera con una combinación de 3 (caracteres[...] [-..][.-.][-.-], etc ) sin embargo dicha solución aunque más rápida de digitar por clics, es mucho más complicada.

En cualquiera de los casos se puede desarrollar un troyano que lea los clics, por lo cual (si la idea del sistema es evitar los troyanos) el sistema sería ineficiente.

Ahí le dejo mi aporte.

Fireman
:llamas2::llamas:


Gracias por tus comentarios Fireman

Realmente el programa no tiene nada de dificultad, por lo que te sugiero primero lo ensayes, para que tu opnión sea basada en lo que experimentaste, te comento que he ensayado muchos keyloguers que existen en la actualidad y ninguno ha podido obtener el pin.

recuerda que la mayoria de los keyloguers aunque leen los clicks no te dan la pausa exacta entre cada clicks, ya que estas pausa son hechas en milisegundos, lo cual hace poco viable el tratar de obtener el pin por medio de keyloguerss pues estos solo te mostrarian una pila de clicks y tu no sabrias, que conjunto de clicks de la pila representandeterminado digito, ni que pausa hay entre ellos, es más te invito cordialmente a que lo intentes, pues de eso se trata de que lo probemos.

Por cierto si no te abre te aconsejo que instales java maquina virtual, si ya la instalaste, te sugiero que limpies la caché de tu navegador e intentes de nuevo.

Por supuesto gracias por tus comentarios y bienvenidos los nuevos.

Y bueno, la idea de la lista de numeros que solo se usan una vez fue lo que yo le dije el año pasado cuando creo su foro de como juakear Conavi. Eso no es nada nuevo, esta implementado en Europa desde muchos años.

eso lo hay hasta en Colombia

a usted le dan un llaverito con un display LCD, siempre esta mostrando un numero pero este numero cambia cada minuto o algo asi, osea que esa cuenta solo puede realizar transacciones con ese numerito en ESE espacio de tiempo, osea que si usted no tiene el llaverito al realizar la transaccion no puede hacer nada asi tenga todas las demas claves de la cuenta;
y si copia el numero del llaverito y se lo lleva pues tampoco le sirve porque ese numerito deja de servir al minuto.
Obviamente este llaverito solo se lo dan si tiene una cuente importante como empresarial o algo asi.
Eso es VIEJO.

aqui esta un ejemplo:
http://www.hsbc.com.my/1/2/personal-banking/online-internet-banking/security-device

eso lo hay hasta en Colombia

a usted le dan un llaverito con un display LCD, siempre esta mostrando un numero pero este numero cambia cada minuto o algo asi, osea que esa cuenta solo puede realizar transacciones con ese numerito en ESE espacio de tiempo, osea que si usted no tiene el llaverito al realizar la transaccion no puede hacer nada asi tenga todas las demas claves de la cuenta;
y si copia el numero del llaverito y se lo lleva pues tampoco le sirve porque ese numerito deja de servir al minuto.
Obviamente este llaverito solo se lo dan si tiene una cuente importante como empresarial o algo asi.
Eso es VIEJO.

aqui esta un ejemplo:
http://www.hsbc.com.my/1/2/personal-banking/online-internet-banking/security-device


Tu hablas de un Token... Yo les digo tamagoshi jejej, están sincronizados con el servidor, es una buena alternativa pero cuestan...

Fireman
:llamas2::llamas:

eso lo hay hasta en Colombia

a usted le dan un llaverito con un display LCD, siempre esta mostrando un numero pero este numero cambia cada minuto o algo asi, osea que esa cuenta solo puede realizar transacciones con ese numerito en ESE espacio de tiempo, osea que si usted no tiene el llaverito al realizar la transaccion no puede hacer nada asi tenga todas las demas claves de la cuenta;
y si copia el numero del llaverito y se lo lleva pues tampoco le sirve porque ese numerito deja de servir al minuto.
Obviamente este llaverito solo se lo dan si tiene una cuente importante como empresarial o algo asi.
Eso es VIEJO.

aqui esta un ejemplo:
http://www.hsbc.com.my/1/2/personal-banking/online-internet-banking/security-device

En efecto es viejo, de hecho en Bancolombia, no implementaron ese sistema debido a lo costoso que resultaba, aunque lo vi en algunas personas de seguridad que lo cargaban con las llaves del carro, no se´si existan clientes con ciertos privilegios .

Pero el caso es que el llaverito no dio palo, no obstante es una buena medida.

Me encantaria, que entre todos los que nos agrada la seguridad informática dieramos ideas de como idear unos mejores sistemas de seguridad y lo llevemos a la pratica, de hecho yo me ofresco a programar lo que ustedes me digan si les parece buena idea.

La idea es que demos a portes que contribuyan a mejorar la seguridad en transacciones por internet, yo di un aporte que es el CountClicks o teclado virtual con contador de clicks, otros pueden dar otras ideas, y si desean yo las programo y las ponemos en la internet para que otros las ensayen y las perfeccionemos, que les parece?

Se me ocurrio una idea pero no se que tan practica seria. y es la de utilizar una llave tipo USB como hacen ciertos programas para validar el acceso.

Es una solucion mucho mas segura en lugar de andar gastandole tiempo a teclados virtuales super complicados que ni el usuario va a entender como funcionan, a ver que dice mi mama cuando le diga que tiene que meter el pin en clave morse.
Estoy de acuerdo; si a muchas personas se les dificulta o no diferencian las ocaciones en que deben unar un click, o un doble click :\ a mi personalmente me parecio bastante canson tener que contar clicks y realmente no me parece que aporte mayor grado de seguridad... al fin y al cabo cuaquiera puede crear un clicklogger :perro:

El peor enemigo de las conexiones seguras es el usuario :\ que mediante ingenieria social o engaños suministra datos...

C.F.

Estoy de acuerdo; si a muchas personas se les dificulta o no diferencian las ocaciones en que deben unar un click, o un doble click :\ a mi personalmente me parecio bastante canson tener que contar clicks y realmente no me parece que aporte mayor grado de seguridad... al fin y al cabo cuaquiera puede crear un clicklogger :perro:

El peor enemigo de las conexiones seguras es el usuario :\ que mediante ingenieria social o engaños suministra datos...

C.F.

Pues aunque la idea de la USB es buena, no será aplicable porque para los bancos resulta muy costosa, por ello es más recomendable mejorar lo que se tiene.

Para nada es complicado lo del contador de clicks, pues acaso uno sepasa todo el día revisando el saldo y además muchas personas lo han ensayado y les parece muy fácil hasta mi abuelo de 94 años, pero bueno yo comprendo que quieras apoyar a krieg.

Recuerden lo importante es brindarle opciones al usuario y que el pueda elegir la que más le convenga, yo no estoy diciendo que este teclado es para que el usuario se case con el, no, pero si se le puede ofrecer junto con el tradicional, de modo que el usuario elija lo que crea mas conveni}ente y comodo.
Pero siendo sinceros, en cuestiones de dinero yo prefiero la seguridad a la comodidad y dar unos cuantos clicks de más no es ningún complique pue eso lo hacemos a diario.

Gracias por sus comentarios

pero bueno yo comprendo que quieras apoyar a krieg.
No es que quiera o no apoyar a krieg solo opino que me parece incomodo e igualmente vulnerable por un programa, que quizas aun no este implementado pero seguro lo estará si se pone esa medida en funcionamiento.

C.F.

Yo había expuesto lo mismo, es un problema hacer que los usuarios adopten el sistema de clics, eso sin tener en cuenta lo que he dicho antes: SE PUEDE OBTENER EL CÓDIGO DE IGUAL MANERA Y LA MEDIDA ES INEFICAZ.

Mr Qwasar ud puede llegar hasta el colmo de decir: El que no cambia con el cambio, el cambio lo cambia.

Pero aún y con todo eso ni mi abuela ni la abuela de Krieg usarán correctamente el sistema propuesto. Le aseguro que por lo menos la mia bloquea el sistema y llama al operador para que se lo digite en control remoto o algo por el estilo... jejeje


Fireman
:llamas2::llamas:

Los bancos podrían tener un servicio en conjunto con las empresas Celulares.

Una vez me valide con mi clave (diferente a la del cajero) en el portal del banco, me envíen un código aleatorio de verificación al celular, el cual tendría que digitarlo en el portal para poder tener acceso.

Al menos yó estaría dispuesto a pagar un valor mensual por un tipo de servicio de esta clase.