问:最近,我看见一个政府贷款网站已经在其登陆页面实施虚拟键盘。为了减少被键盘记录器捕获的风险,用户可以选择在虚拟键盘上键入字母和数字,以输入他们的用户名和密码。使用虚拟键盘的好处和坏处分别是什么?
答:我首先说说坏处。首先要考虑的是触屏虚拟键盘如何与用户平台的功能进行交互。虚拟键盘显示在iPhone、上网本、PS3、PSP、Droid等上能很好的工作吗?市场上有许多客户设备是面向Web的。一个Web对象,如虚拟键盘,更有可能在这些设备上出问题。
还有个问题是它存在肩窥的风险。我怀疑其他人可以很容易的看到我在虚拟键盘上键入的密码和用户名(除非我在我的电脑显示器上盖一个东西)。
最后,因为虚拟键盘不是在所有的Web应用程序上都是一致的,所以就需要花费资金来部署或创建键盘,并整合到Web应用程序应用程序上。
好处是,键盘记录器不能捕获键入的信息,因为你只需使用鼠标和触屏键盘来输入信息,这样密码就安全了。
但是,作为一个安全专业人员,在我决定在网站上使用虚拟键盘之前,我需要权衡利弊。访问我网站的用户是哪类人,他们有多精通技术?他们会使用什么平台?访问该网站的系统有键盘记录器或其他捕获软件所带来的风险有多大?安装虚拟键盘有何价值?关于网站提供的内容,我们需要考虑的隐私?安装虚拟键盘影响终端用户访问我们的网站吗?在分析了这些结果之后,我才能正确权衡该功能的益处与添加虚拟键盘在我的网站上所带来的风险,从而作出决定。
【编辑推荐】