Является ли виртуальная клавиатура панацеей от кейлоггера?
Как правило, находясь где-либо в отпуске, вне дома:
1) стараюсь временно пересылать (с оставлением копий) сообщения со своих "важных" приватных ящиков в один "бросовый" (например на yandex.ru или mail.ru), чтобы не светить первые;
2) сидя в в интернет-салоне и соединяясь с "бросовым" ящиком по обычному http посредством веб-интерфейса, стараюсь (хотя и отлично понимаю малую надежность такого способа) максимально затруднить местному админу распознавание того момента, когда я набираю на клавиатуре связку "логин+пароль".
Например, попутно с веб-браузером открываю блокнот, набираю там невообразимую абракадабру, типа gfjhgjf12345hgjfhgj089769, при этом – 12345 является моим логином.
Копирую получившуюся фразу через буфер в окно ввода логина на странице mail.ru (предварительно запомнив, сколько "ненужных" символом стоит перед цифрой "1", потом стираю их "бэкспейсом". Затем такая же операция проводится с лишними символами, стоящими после "12345". Потом могу после логина опять вручную впечатать пару ненужных символов, потом – опять стереть их.
Когда логин приходит в "нормальное" состояние, такие же операции провожу с набором и вводом пароля. Потом пару раз нажимаю Enter где-нибудь в блокноте, потом, дополнительно – в соседнем окне браузера, допустим – в адресной строке, чтобы обновить какую-то другую страницу. И лишь потом – Enter, активирующий вход в почтовый ящик...
Словом, создаю поток "мусорных" символов, чтобы среди них не слишком просто было бы распознать логин и пароль. Хотя я прекрасно понимаю, что они все равно передадутся на почтовый сайт в открытом и неизменном виде. Просто здесь надежда на то, что админ в интернет-кафе (а там всегда почему-то попадаются девочки, изредка мальчики, лет до 20 и с навыками и умениями деревенской козы) попросту не сможет или не захочет разбираться в абракадабре...
А вот любимая лично мною :D и всячески рекомендуемая здесь, на форуме, почтовая израильская служба на https://www.safe-mail.net ввела недавно такую опцию, как ВИРТУАЛЬНАЯ КЛАВИАТУРА, причем установленную на стартовой странице (т.е. вовсе не для удобства набора ПИСЕМ), а для того, чтобы затруднить перехват логина-пароля в местах публичного пользования интернетом.
Вопрос 1 – насколько такая мера спасет от кейлоггера и последующего перехвата логина и пароля? Является ли она АБСОЛЮТНО надежной?
Вопрос 2 – при работе с указанным ящиком на https://www.safe-mail.net в онлайн-режиме, т.е при помощи веб-интерфейса, отправляемые и принимаемые данные гуляют туда-сюда, защищенные httpS. Но может ли кейлоггер, установленный на конкретной "публичной" машине, допустим, в том же интернет-кафе, перехватить НАБИРАЕМЫЙ с клавиатуры текст письма?
Отвечу себе сам – да, с вероятностью почти в 100%. Как эффективно разрешить эту проблему? Допустим, набирая текст письма на еще одной виртуальной клавиатуре, типа Virtual Keyboard от Андрея Коха с сайта http://www.andrej-koch.de? Но ведь все равно – текст может быть перехвачен в момент его передачи с виртуальной клавиатуры через буфер обмена в окно набора сообщения почтового интерфейса? Что здесь можно придумать?
комментариев: 11558 документов: 1036 редакций: 4118
Оригинальная мысль. Нечто сродни криптографической "привязке" (salt). Такой пароль может быть и сравнительно простым, допустим, три-четыре случайных символа. Я поддерживаю.
Проблема, в которую всё упирается, — это поддержка (вернее, отсутствие оной) подобных схем различными интернет-сервисами.
Это если дадут. Часто у нас (не за рубежом) администрация кафе к таким просьбам относится крайне настороженно. Точки беспроводного доступа WiFi в этом смысле предпочтительнее, но ими, опять же, не все кафе оборудованы.
комментариев: 9796 документов: 488 редакций: 5664
Я знаю, что схемы, претендующие на криптостойкость есть и похожи на то, что Вы описываете. Но всё построено только на графических элементах. Их нужно выбирать по определённому правилу.
В Вашем посте был правильно указан принцип доказательства знания. Противник может подсмотреть процесс ввода графического пароля или снять на видеокамеру, но воспроизвести не сможет. Сам пароль постоянный и остаётся "в голове", а сеанс его ввода одноразовый, каждый раз выглядит по разному.
комментариев: 9796 документов: 488 редакций: 5664
http://www.membrana.ru/article.....06/01/25/192400.html
комментариев: 143 документов: 19 редакций: 0
Вот источник, читайте:
http://clam.rutgers.edu/~lsobr.....sword/help/help.html
(я уже скачал – 1,7 Мб; сейчас буду пробовать)
ВАЖНО: Требует предварительной инсталляции . NET 1.1 – а это еще > 23 Мб + пакет локализации 1,2 Мб. Ссылка на закачку . NET framework:
http://msdn.microsoft.com/netf.....owtoget/default.aspx
В современный мобильник можно запрограмировать настоящюю однонаправленую функцию (или блочный шифр). На экране показывается восмизначное число, вы его вводите в мобильник, а то что вам показывает мобильник, вводите как пароль.
Дешего и сердито.
Очень интересная идея!!! Этакий light-вариант собственного КПК.
В "настоящую однонаправленную функцию" кроме 8-мизначного числа должен вводиться еще и личный пароль по памяти, чтобы мобильник нельзя было тихо спереть.
комментариев: 143 документов: 19 редакций: 0
Выглядит прикольно. Действует прикольно (ну, на уровне демо-версии, которая ничего не шифрует, а показывает принцип действия).
Если бы прикрутить ее куда-то реально – цены бы не было!
О! – появилась идея: попросить SATtvу сделать такой вход на форум: ГАРАНТИРОВАННО отпадут все, даже самые злостные спаммеры, ибо просто устанут 12(!) или более раз пытаться найти нужные элементы в сильно зашумленном другими элементами поле :D ... да еще и мысленно соединить их воображаемыми линиями! :D
Впрочем, у меня эксперимент удался с первого раза. :D
Самая главная разница в том, что мобильник почти у всех есть, а КПК почти ни у кого нет. Также КПК слишком универсален и из-за этого так же уязвим, как остальные ПК.
Это черезмерно. Пароль (от которого происходит ключ MAC) достаточно ввести один раз. Потом уже достаточен четырехзначный PIN. Пока вор мобильника будет с ним мучаться, можно сообщить в службу безопасности и запретить доступ по данному ключу.
Проблема не в этом. Дело в том, что эта мера защиты только против identity theft (как это по-русски?). Одну транзакцию фишер всетаки может провернуть в реальном времени.
Против этого тоже можно защититься при помощи мобильника, но это не так удобно (или не так дешего).
комментариев: 11558 документов: 1036 редакций: 4118
Боюсь, тогда придётся переформулировать Вашу фразу так:
[quote:6681a2a462="Д. Надь"]Дело в том, что эта мера защиты только против identity theft (как это по-русски?)
Общепринятый перевод — "похищение личности", но это не совсем корректно. Личность (personality, individuality) никуда не девается (в принципе не может), похищаются только идентификационные данные, отличительные особенности как информация (identity). В общем, это как с privacy — адекватного перевода нет, а те, что приняты, не совсем верны, точны или полны.
комментариев: 143 документов: 19 редакций: 0
:D :D :D Это еще одна идея!
[quote:99014dd10b="Д. Надь"]Дело в том, что эта мера защиты только против identity theft (как это по-русски?)
Общепринятый перевод — "похищение личности", но это не совсем корректно. Личность (personality, individuality) никуда не девается (в принципе не может), похищаются только идентификационные данные, отличительные особенности как информация (identity). В общем, это как с privacy — адекватного перевода нет, а те, что приняты, не совсем верны, точны или полны.
Не "по-рюсски", :D но по-чешски: из одного детектива времен моей молодости и социалистической Чехословакии (чтобы более точно передать смысл приведенного термина:
"Стало быть П. похитил у [убитого] брата не бумажник, а документы, вернее, даже не документы, – он устранил "возможность идентификации", понимаете, имя похитил, чтобы брат исчез совершенно..."
© Svatopluk Zlamany. Hra na slepou babu.
Против этого тоже можно защититься при помощи мобильника, но это не так удобно (или не так дешего).
]>
Просто надо в качестве запроса демонстрировать хэш существенных характеристик транзакции ( например сумму и реквизиты платежа). И тогда "человек в середине" лишь сможет лишь воспрепятствовать её проведению, но не более.
http://pgpru.com/forum/viewtopic.php?t=1701