تالار پشتیبانی شرکت نرم‌افزاری امن‌پرداز

سلام و تشکر
یکی از راه های جلو گیری از هک رمز ها صفحه کلید مجازیه اما مشکلی که دارن اینه که اگه هکر صفحه نمایش ما را هک کرده باشه عملا استفاده از اون فایده ای نداره چون هکر میبینه(و به ریش ما میخنده و رمز کارت ما را هک میکنه و میره سراغ دارایی ما یعنی 2450 تومان پول بی زبان!)
اما برای رفع این مشکل(و حفظ 2450 تومان دارایی ما!) میتوان صفحه کلیدی طراحی کرد که کاربر قبلا عملکرد اون را تغییر داده باشه مثلا روی صفحه 5 را بزنه اما عدد 2 ارسال شه(که خود کاربر قبلا انتخاب کرده) و این گونه هکر از طریق دیدن صفحه هم چیزی گیرش نمیاید.
و باید برود سراغ فرایند ارسال عدد(از صفحه کلید مجازی تا جایگذاری در فیلد رمز) به مرورگر یا ... که من زیاد سر در نمیارم اما برای آنجا هم فکر کنم میتوان افزونه برای مرورگر نوشت که فرایند انتقال عدد به فیلد را خودش به صورت امن بر عهده گیرد.
نظر دوستان چیست نظر مدیر چیست؟

البته یه چیز دیگه هم هست و اون اینکه صفحه کلید مجازی باید در هر بار فعال سازی و فراخوان جای کلید هاش عوض بشه که در صفحه کلید های مجازی صفحات خرید سایت های بانک رعایت شده ولی در پادویش نه

[quote="nourooz"]سلام و تشکر
یکی از راه های جلو گیری از هک رمز ها صفحه کلید مجازیه اما مشکلی که دارن اینه که اگه هکر صفحه نمایش ما را هک کرده باشه عملا استفاده از اون فایده ای نداره چون هکر میبینه(و به ریش ما میخنده و رمز کارت ما را هک میکنه و میره سراغ دارایی ما یعنی 2450 تومان پول بی زبان!)
اما برای رفع این مشکل(و حفظ 2450 تومان دارایی ما!) میتوان صفحه کلیدی طراحی کرد که کاربر قبلا عملکرد اون را تغییر داده باشه مثلا روی صفحه 5 را بزنه اما عدد 2 ارسال شه(که خود کاربر قبلا انتخاب کرده) و این گونه هکر از طریق دیدن صفحه هم چیزی گیرش نمیاید.
و باید برود سراغ فرایند ارسال عدد(از صفحه کلید مجازی تا جایگذاری در فیلد رمز) به مرورگر یا ... که من زیاد سر در نمیارم اما برای آنجا هم فکر کنم میتوان افزونه برای مرورگر نوشت که فرایند انتقال عدد به فیلد را خودش به صورت امن بر عهده گیرد.
نظر دوستان چیست نظر مدیر چیست؟[/QUOTE]
سلام
پیشنهاد شما پیشنهاد جالبی است ولی چند نکته دارد که کاربردی بودنش را کم می‌کند:
اینکه کاربر باید صفحه کلید را خودش سفارشی کند (کاری که احتمالا یک در هزار هم کاربری انجام ندهد)
بعد اینکه باید حافظه خوبی داشته باشد که کدام کلید را به جای کدام گذاشته (بخصوص در مورد صفحه کلیدهای کل حروف سخت است؛ اما حتی برای صفحه کلیدهای ۱۰ رقمی که فقط اعداد را نمایش می‌دهند هم یک در هزار توانایی یادآوری تغییرات خودشان را ندارند)
اگر شخص دیگری بخواهد از سیستم استفاده کند بدون اخطار گمراه می‌شود. (چون باورش نمی‌شود زدن یک کلید منجر به تایپ دیگری شود)
و در آخر هم بدافزار - همانطور که فرض کردید - می‌تواند در پروسه انتقال یا در داخل خود مرورگر منتظر گرفتن پسورد باشد.

با این همه پیشنهادی عملی است و می‌تواند به بهبود امنیت سیستم کمک کند. به همین علت من آن را به واحد توسعه ارجاع می‌دهم.

[quote="saeed753"]البته یه چیز دیگه هم هست و اون اینکه صفحه کلید مجازی باید در هر بار فعال سازی و فراخوان جای کلید هاش عوض بشه که در صفحه کلید های مجازی صفحات خرید سایت های بانک رعایت شده ولی در پادویش نه[/QUOTE]
سلام
برای صفحه کلیدهایی که کل کیبورد را نمایش می‌دهند (حرفی/رقمی) جابجایی حروف منطقی نیست، چون شما باید بین ۳۶ (یا ۴۷) حرف بهم ریخته دنبال کاراکترهای خودتان بگردید و خیلی پیدا کردن کاراکتر سخت می‌شود.
در سیستم‌های بانکی که دیده‌اید به این علت امکان این کار وجود دارد که تنها ده رقم روی صفحه کلید وجود دارد. (تازه همانجا هم کاربر چند ثانیه‌ای باید صفحه را دنبال رقم مورد نظرش بگردد، ولی شدنی است) و در همان سیستم‌های بانکی در صفحاتی که مثلا رمز اینترنت بانک یا مانند آن وارد می‌شود که نیاز به تایپ حروف نیز دارد، صفحه کلید با چینش عادی نمایش داده می‌شود.

سلام
من هم بیشتر کاربران حرفه ای مد نظرم هست (که با آگاهی میتوان کاربران را بیشتر هم کرد) وبا تمرکز روی اعداد که کاربر میتواند با یک الگو خاص مثلا ضربدی جای اعداد را عوض کند یا در حروف معمولا هر کاربر در رمز ها از چند کاراکتر خاص بیشتر استفاده نمیکند که میتواند فقط انها را تغییر دهد.و برای مشکل سایر کاربران میتوان امکانی را ایجاد کرد که کاربر با فعال کردن آن هنگام استفاده پیامی مبنی بر اختصاصی بودن صفحه کلید دهد.و اینها برای یک کاربرحرفه ای و یک کار مهم زیاد سخت نیست .
البته همان طور که شما نیز اشاره کردید پروسه انتقال کاراکتر به مقصد هم میتواند مورد حمله قرار گیرد که روی ان هم باید کار شود.
ممنون از توجه و همچنین انتقال نظرات به واحد توسعه.