Me resultan muy molestas y preocupantes las nuevas “medidas de seguridad” que el Banco Agricola (que de en adelante llamare “el banco”) ha implementado para las cuentas de acceso electronico (E-Banca), por que? por que pienso el fundamento que estan utilizando es bastante cuestionable y su implementacion realmente ridicula.
Primero, el banco cambia la forma de ingresar los datos a un campo tipo texto en su formulario HTML, para ya _NO_ digitar directamente desde un teclado, para evitar que un keylogger pueda guardar sus datos, a cambio de eso, el banco coloca un _FABULOSO_ teclado virtual incompleto en simbolos y con letras (unicamente) mayusculas para poder hacer clic en las letras mostradas y asi ingresar su usuario y password.
Mi opinion al respecto? Totalmente cuestionable, por que? porque limita la cantidad y variedad de caracteres para utilizar en su contrasena (para ganar fortaleza) y ademas porque ahora resulta que las contrasenas almacenadas en su base de datos que usan letras (que creo es la mayoria) se cambian todas a mayusculas, pareciera que hicieron un UPPER(password). Por lo que si mi contrasena inicial era: aBcD, ahora se vuelve ABCD, mas facil no?. Ahh pero no debemos olvidar que ahora el super teclado virtual, hace el ingreso de sus datos mas seguro.
Ok, primer estupidez del banco.
Segundo, despues de muchas quejas (seguramente), el banco cambia el teclado virtual inicial, por otro teclado con la grandiosa capacidad de intercambiar entre letras mayusculas y minusculas. Entonces se viene el razonamiento genial de los programadores del banco, y dicen:
“bueno, si la vez pasada le dimos un UPPER(password), ahora arreglemos esto con un LOWER(password)“.
Bien, ahora resulta que si mi password inicial era: aBcD, fue cambiado luego a ABCD, y ahora cambia a abcd.
Ok, segunda estupidez del banco.
Ahora me pregunto un par de cosas:
Como putas un usuario no informatico se imaginara que esto va a suceder con su password de E-Banca?
De que forma se estan almacenando los password en la base de datos del banco, que les resulta tan facil hacer un UPPER() o un LOWER(), sera que un simple texto no encriptado guarda su preciado password? O al menos se ocupara una clave simetrica para poder pseudo-encriptar el password?
Totalmente lamentable!
Todos los que nos sentimos ofendidos y preocupados ante tanta estupidez, deberiamos buscar los medios para buscar proteccion ante tal ineptitud. Donde se podra realizar esta queja? en la DPC?
Y todos los que usan solo numeros en sus password ni se han dado cuenta de lo que ha sucedido.
juela!! si que son muy inteligentes!!! xD
Yo desde finales de Junio empezó mi calvario:( queria pagar unos servicios y me di cuenta q el bendito teclado no tenia todos los caracteres. Sumado a eso la probabilidad de equivocarse es alta!!!
Yo en lo particular nunca me gusto este tecladito asi que me dedique a desactivarlo y actualmente lo he logrado, visita mi sitio para que te des una idea de como hacerlo.
Realmente raro… no se que es lo que piensan estar “asegurando”, lo cierto es que es una basura y hostiga…
En lo personal, pienso que es una medida acertada, es mas, los felicitaria, pues como usuario se lo vulnerables que somos, pero como programador se que las “estupidecez” las cometemos los usuarios, pues como puedes exigir seguridad, cuando dejas que te vean cuando digitas tu clave, es mas, hasta en un ciber las has de digitar. Si alguien tuviera la intencion de robar tu clave, no importa que tan sofisticado sea el mecanismo de login, basta una simple tecnica de phising. Y tampoco puedes decir que con mas asteriscos vas a mejorar tu clave. Pero, si yo fuera el responsable de la seguridad informatica del Agricola, y leyendo tu opinion de que es tan vulnerable, te retaria a que violes esa seguridad, no deberia ser problema para ti o para cualquiera que te apoye, verdad?
Hola Cesar, creo que no has leido bien, mi critica se centra en el manejo de la contrasena a nivel de base de datos y adicional critico el bendito teclado ese. Ademas, no es invento mio, que las claves las han manipulado a conveniencia de sus programadores, y se esto, no porque yo este dentro de la organizacion, sino porque los problemas que yo he tenido, han sido tambien los de muchos otros y a prueba y error he ido descifrando mi propia contrasena.
No se como me dices que escribo las contrasenas en cyber y no se que. No se de donde sacas eso si ni te conozco, ni me conoces. Eso si me parece irresponsable. Pero de igual forma respeto tu opinion. Y si tu te sientes contento con las medidas de seguridad del banco, bien por ti.
En cuanto a violar la seguridad del banco, me parece tambien fuera de contexto tu comentario, en ningun momento he dicho que soy un cracker o hacker, ni he mencionado que sea facil entrar, te imaginas si a mi (sabiendo mi usuario y contrasena) me cuesta entrar con el nuevo sistema, ya te imaginas queriendo entrar con la cuenta de otro?
Ademas, en muchos casos el robo de informacion en las empresas, bancos, etc. los realizan gente interna a la organizacion, no gente de afuera.
Por eso despues alli andan vendiendo bases de datos en $10.
Un saludo!
La medida es realmente estúpida. Cuando una medida de “seguridad” informática afecta seriamente al usuario algo está realmente mal en el que la pensó.
Además el que sepa suficientemente de javascript y html puede desactivar el teclado virtual.
el teclado virtual no es nada accesible mas si estamos medio chocos.Pero sidecierles men que la gente q no tiene la culpa de esto es la que recibe todo tipo de abusos por ejemplo yo hable a call center para q medijeran q hacer por el usurario y de forma bastabte amable me explicaron en realidadi tam,bn uno se complica y la weba tambn q nolo deja ahora mejr en vez de amargarmen cuando se me bloquea u olvido la clave con el famosos PIN TELEBANCA q en agenciame lo dieron hagoel cambio viatelefono
hey el pin es gratuiti al menos eso esta bueno XD
Totalmente de acuerdo con este post, se me hace tedioso ese tecladito, ademas que los caracteres cambian de lugar cada vez que entras a la pagina por lo que hay que andar dundiando buscando la letra que querés, de por si que tenes que estar cambiando el pass cada cierto tiempo ya ni dan ganas de ponerle una contraseña larga y difícil porque así se hace mas fácil que me equivoque poniéndola a la hora de revisar mis cuentas.