+Teclados virtuais: segurança ou ilusão? Ultimamente tem se discutido na lista do GTS (Grupo de Trabalho de Segurança de Redes) a questão do uso de teclados virtuais e outros meios visuais de autenticação. Os teclados virtuais foram introduzidos há algum tempo pelos bancos em seus sítios de serviços sob a alegação de que usar o teclado real para digitar uma senha não seria seguro porque poderia haver um programa clandestino grampeando o teclado. Em minha opinião se a máquina do cliente estiver comprometida com software clandestino, nenhum mecanismo de autenticação é confiável, mas os especialistas em tecnologia de informação dos bancos resolveram que o teclado virtual era seguro, mesmo que o computador do cliente esteja coalhado de vírus. Santa ingenuidade, Batman! Inutilmente tentei argumentar com um "especialista" (sim, com aspas!) do Banco do Brasil que o teclado virtual era inútil, se o ambiente já estivesse comprometido, que quebrava a acessibilidade do serviço (ponha-se no lugar de um cego navegando na Web graças a um sintetizador de voz, deparando-se com um teclado virutal em que toda a informação é visual para entender o problema de acessibilidade) e, pior, introduzia uma vulnerabilidade, porque a três metros de distância um xereta qualquer pode acompanhar o movimento do ratinho na tela e capturar tua senha. Bem, recentemente começou a circular um programa troiano (referência ao cavalo de Tróia que carregou os comandados de Ulisses para dentro da cidade) que captura esses teclados virtuais. E agora, espertinhos, como vocês saem dessa? Como os gerentes de TI não aprenderam a lição, pois são arrogantes demais para isso, vão inventar uma nova interface, provavelmente menos acessível, mais complicada, mais estúpida enfim, na esperança conceitualmente vã de que fiquem à prova de novos modelos de cavalos de Tróia. É preciso entender definitivamente que se o ambiente estiver comprometido não existe método confiável de autenticação, de senha a certificados digitais, passando por biometria e os cambaus. É preciso entender também que a questão de segurança não pode ser tratada de forma absoluta, é preciso quantificar os riscos e reduzi-los a patamares aceitáveis. Quem não arrisca, não petisca! Só que por enquanto o marketing impera sobre a engenharia e é mais importante vender a ilusão de segurança do que prover realmente serviços seguros.