Marcelo Murad

Recetemente desenvolvi um padrão de segurança para um Teclado Númerico Virtual. O intuito do projeto era especificar como, e que tecnologias utilizar no desenvolvimento de um módulo seguro. Este padrão foi vendido para uma empresa no ramo de seguros.

Foi aconselhada a adoção dos seguintes padrões:

• Utilização de divs permitindo que o teclado virtual flutue na tela do browser e seja arrastado para qualquer posição dentro da mesma.
• O teclado virtual deve ser numérico, sendo que ao passar o ponteiro do mouse sobre um botão do teclado todos os labels dos botões devem ser alterados para #.
• A cor da fonte do teclado deve ser um cinza claro.
• Ao retirar o mouse de cima da área do teclado os botões devem ser embaralhados aleatoriamente.
• Deverá ser adotado o padrão RSA (RFC 2437) para criptografia da senha antes do envio da mesma para o servidor. A criptografia deve ser realizada on-the-fly, ou seja, a cada clique do mouse num dos botões, o número correspondente deve ser criptografado e disponibilizado num textbox do tipo password.
• Utilização do protocolo HTTP sobre TLS (https – RFC 2818) para comunicação cliente/servidor.

Vantagens da Utilização do Padrão

O conjunto de utilização das divs com alternação número/# e o embaralhamento dos números aleatoriamente, protegem o usuário contra possíveis scans. Os quais podem utilizar-se de tecnologias maliciosas que criam uma imagem da tela a cada clique do mouse.

A utilização de uma cor cinza claro dificulta a leitura da senha por pessoas que estejam por perto.

A utilização da criptografia RSA on-the-fly, protege o usuário contra possíveis programas maliciosos que utilizam alguma tecnoliga para “ler” o conteúdo de campos de formulários em browsers.

A utilização do protocolo https garante que as informações enviadas sejam criptografadas, assegurando assim, o transporte da senha criptografada até o servidor de origem. Evitando que sniffers e ataques do tipo man-in-the-middle consigam capturar as informações trafegadas.