id: Гость   вход   регистрация
текущее время 23:39 20/09/2020
Автор темы: Rabby, тема открыта 18/05/2006 08:58 Печать
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ЯвляетсяЛиВиртуальнаяКлавиатураПанацеейОтКейлоггера
создать
просмотр
ссылки

Является ли виртуальная клавиатура панацеей от кейлоггера?


Как правило, находясь где-либо в отпуске, вне дома:


1) стараюсь временно пересылать (с оставлением копий) сообщения со своих "важных" приватных ящиков в один "бросовый" (например на yandex.ru или mail.ru), чтобы не светить первые;


2) сидя в в интернет-салоне и соединяясь с "бросовым" ящиком по обычному http посредством веб-интерфейса, стараюсь (хотя и отлично понимаю малую надежность такого способа) максимально затруднить местному админу распознавание того момента, когда я набираю на клавиатуре связку "логин+пароль".


Например, попутно с веб-браузером открываю блокнот, набираю там невообразимую абракадабру, типа gfjhgjf12345hgjfhgj089769, при этом – 12345 является моим логином.


Копирую получившуюся фразу через буфер в окно ввода логина на странице mail.ru (предварительно запомнив, сколько "ненужных" символом стоит перед цифрой "1", потом стираю их "бэкспейсом". Затем такая же операция проводится с лишними символами, стоящими после "12345". Потом могу после логина опять вручную впечатать пару ненужных символов, потом – опять стереть их.


Когда логин приходит в "нормальное" состояние, такие же операции провожу с набором и вводом пароля. Потом пару раз нажимаю Enter где-нибудь в блокноте, потом, дополнительно – в соседнем окне браузера, допустим – в адресной строке, чтобы обновить какую-то другую страницу. И лишь потом – Enter, активирующий вход в почтовый ящик...


Словом, создаю поток "мусорных" символов, чтобы среди них не слишком просто было бы распознать логин и пароль. Хотя я прекрасно понимаю, что они все равно передадутся на почтовый сайт в открытом и неизменном виде. Просто здесь надежда на то, что админ в интернет-кафе (а там всегда почему-то попадаются девочки, изредка мальчики, лет до 20 и с навыками и умениями деревенской козы) попросту не сможет или не захочет разбираться в абракадабре...


А вот любимая лично мною :D и всячески рекомендуемая здесь, на форуме, почтовая израильская служба на https://www.safe-mail.net ввела недавно такую опцию, как ВИРТУАЛЬНАЯ КЛАВИАТУРА, причем установленную на стартовой странице (т.е. вовсе не для удобства набора ПИСЕМ), а для того, чтобы затруднить перехват логина-пароля в местах публичного пользования интернетом.


Вопрос 1 – насколько такая мера спасет от кейлоггера и последующего перехвата логина и пароля? Является ли она АБСОЛЮТНО надежной?


Вопрос 2 – при работе с указанным ящиком на https://www.safe-mail.net в онлайн-режиме, т.е при помощи веб-интерфейса, отправляемые и принимаемые данные гуляют туда-сюда, защищенные httpS. Но может ли кейлоггер, установленный на конкретной "публичной" машине, допустим, в том же интернет-кафе, перехватить НАБИРАЕМЫЙ с клавиатуры текст письма?


Отвечу себе сам – да, с вероятностью почти в 100%. Как эффективно разрешить эту проблему? Допустим, набирая текст письма на еще одной виртуальной клавиатуре, типа Virtual Keyboard от Андрея Коха с сайта http://www.andrej-koch.de? Но ведь все равно – текст может быть перехвачен в момент его передачи с виртуальной клавиатуры через буфер обмена в окно набора сообщения почтового интерфейса? Что здесь можно придумать?


 
На страницу: 1, 2 След.
Комментарии
— SATtva (18/05/2006 20:47)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
сидя в в интернет-салоне и соединяясь с "бросовым" ящиком по обычному http посредством веб-интерфейса, стараюсь (хотя и отлично понимаю малую надежность такого способа) максимально затруднить местному админу распознавание того момента, когда я набираю на клавиатуре связку "логин+пароль".

Это неплохой способ, чтобы уберечься от какого-то бездельничающего админа влезть от скуки в Ваш ящик (мы исходим из допущения, что для перехвата реквизитов доступа будет использован кейлоггер, а не сниффинг HTTP-POST-запроса; если Ваша почта поддерживает SSL, это разумное допущение). Если Вы не считаете, что являетесь объектом целенаправленной "разработки", он сойдёт. Вряд ли в случайно выбранном инет-кафе в чужом городе Вас кто-то узнает.

почтовая израильская служба на https://www.safe-mail.net ввела недавно такую опцию, как ВИРТУАЛЬНАЯ КЛАВИАТУРА

1. Ответ — нет. (Абсолютно надёжных мер вообще не существует. Уверен, Вы это прекрасно знаете.) Виртуальные клавиатуры применяются как противодействие некоторым аппаратным кейлоггерам, установленным на соединительном кабеле клавиатуры. Такая мера не защитит от программного (или аппаратного) кейлоггера, записывающего перемещения курсора мыши для ввода текста с виртуальной клавиатуры. А ещё есть средства удалённого администрирования, позволящие админу "видеть" Ваш экран монитора на своём компьютере...

2. Ответ — да, как заметили Вы сами. Универсального решения здесь не существует. Лучше исходите из того, что публичный компьютер априори ненадёжен и полностью подконтролен админу, и не используйте его для важной переписки.

Можно говорить о вариантах с личным КПК, где Вы набираете текст, а для отправки используйте кафешную машину, но не во многих кафе можно подключать гаджеты к машинам. Лучше всего, по-моему, — это найти в городе пребывания публичный WiFi-spot (беспроводную точку доступа к интернету) и использовать её для работы с собственного мобильного устройства (лучше через Tor или какой-то удалённый https-прокси).
— Rabby (18/05/2006 22:24)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Большое спасибо! Авторитетно подтвержденные собственные опасения :)- лучшее средство от бездумного стучания пальцами по клавиатуре любой публичной машины. :) Об удаленном администрировании я конечно же осведомлен хорошо и сам могу его применять. Но как Вы верно подметили, интересоваться моей персоной в каком-то заштатном кафе далекого курортного городка намеренно вряд ли кто-то будет, разве что исключительно из праздного любопытства. Поэтому я и хотел проконсультирваться по поводу именно такого"простого" случая: т.е. 1) тупой админ, 2) отсутствие конкретного нездорового интереса к собственной персоне и т.п.

В принципе, самый лучший совет здесь – на отдыхе расслабиться и ВООБЩЕ не думать о переписке и интернете, хотя в моем более чем 2-х месячном отпуске это крайне сложно – буквально через 3 дня начинается "ломка" без компьютера, а через неделю начинаешь в книжном магазине на два часа зависать у прилавка с книжками по С++ в руках... :)
— Гость (02/07/2006 19:50)   <#>
Какие у вас есть соображения по поводу разработки интерейса ввода не самого пароля, а ДОКАЗАТЕЛЬСТВА его знания. Ну например вам демонстрируется несколько строчек с символами, а вы указываетн те из них, которые содержат символы из пароля?
Причём это может быть предварительно распечатано на бумаге, которую надо будет приложить к ПУСТОМУ экрану!
(Тут конечно уже встаёт вопрос защиты канала связи с принтером, однако скрытно послать десятки мб трафика печатаемой картинки уже несколько сложнее :-) )

И ещё вопрос:
Как насчёт смарткарт в плане ПРАКТИЧЕСКОГО использования? В смысле где лучше что купить и какие программы использовать?
— unknown (02/07/2006 23:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Какие у вас есть соображения по поводу разработки интерейса ввода не самого пароля, а ДОКАЗАТЕЛЬСТВА его знания. Ну например вам демонстрируется несколько строчек с символами, а вы указываетн те из них, которые содержат символы из пароля?



Было уже много раз такое. Даже запатентовано. Несколько раз видел где-то даже в обычных новостных лентах. Не помню названия технологии, но там надо из серий картинок мысленно проводить линии между предметами. Другой вариант – помечать детали на фотографии по какому-то правилу.

Оснвное неудобство – медленность ввода данных и плохая переносимость. Несмотря на весь прогресс графических технологий, пароль часто нужно вводить в консоли на сервере, передавать сеанс аутентификации по сети и т.д.

В системах высшего класса защищенности вообще нет графической оболочки.

В обычных пользовательских компьютерах, может когда нибудь и применят, но чем то это напоминает стереокино. Изобрели 60 лет назад, вроде интересно, но так и не внедряется. Неестественная, громоздкая и тупиковая технология, хотя может снова возродиться на новом витке прогресса. Будущее покажет, что получится и из таких графических паролей.
— Гость (03/07/2006 14:25)   <#>
Можно попробовать и без графики.

У вас есть матрица символьного экрана, ну как минимум 25х80.
Вам демонстрируется L сторк, по К символов. В качестве ответа вводите N символов, обозначающих номера строк, в которых находяться символы (например это может быть первый символ строки). Это повторяется М раз.

Будет ли такая схема криптографически стойкой при разумных параметрах L, K, N, M и каких либо условиях на демонстрируемые символы?

А если нет, возможно ли придумать что-либо подобное/удобное даже для алфавитно-цифровых консолей?

А то ведь пока кейлоггер жареный не клюнет... :-(
— Гость (03/07/2006 14:39)   <#>
Я к тому, что можно ли адаптировать какой-либо криптографический протокол так, чтобы человек( ну, может быть, вооружившись калькулятором) играл роль криптопроцессора ? :-)
— SATtva (03/07/2006 15:42)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Соображения:
1. Если такая методика будет опциональной — пользователь её отключит.
2. Если методика будет мандатной — перейдёт на альтернативный продукт.

Обоснование:
1. Ввод крайне долгий и неудобный (тем более с калькулятором).
2. Не обеспечивает защиту от средств контроля вывода изображения.

Как итог, всё это ничем не превосходит уже существующие решения, к примеру, многофакторной аутентификации.
— Гость (03/07/2006 18:12)   <#>
Насчёт неудобства читайте первое послание (от Rabby).

SATtva:
Соображения:
2. Не обеспечивает защиту от средств контроля вывода изображения.


Не совсем понятно, почему.

Вот смотрите:

пароль, к примеру "КриптограммА"
на экране появляется:


1 йЙцФуЯкЦ
2 еЫнЧгУшВ
3 щСзКхАъМ
4 фЕыПвИаН
5 пРрТоГлО
6 дЬжШэЛяБ
7 чЩсДмЮиЗ
8 тЖьЭбХюЪ


пользователь вводит "357585254773" – номера строк, содержащих символы пароля.

Пусть это всё может наблюдать любой желающий.
Вопрос, насколько легко он сможет подобрать нужную последовательность в следующий раз, когда перед ним возникнет например:


1 ЙйЦфУяКц
2 ыЕчНуГвШ
3 ЩсЗкХаЪм
4 еФпЫиВнА
5 ПрРтОгЛо
6 ьДшЖлЭбЮ
7 ЯщЧдСюМз
8 жИэТхЬъБ

— Гость (03/07/2006 18:53)   <#>
Ну не на второй, а на на третий-четвёртый подберёт ;-)
А для однократного применения в интернет-кафе сойдёт...
— SATtva (03/07/2006 21:45)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
;-), верно.

Если область применения ограничивается чем-то подобным, то решение неплохое.
— Гость (03/07/2006 23:18)   <#>
Вот как вам слегка модифицированный вариант:
вроде будет посложнее вскрыть, но зато проще объяснить!
И не так скучно. ;-)

Есть такая игра в слова "Быки и коровы"
Быки-это совпадающие буквы с учётом места,
а коровы-без учета оного.
Так вот быков мы уберём...

Итак, к примеру пароль "пароль"

запрос:

1 съешь
2 этих
3 сладких
4 французких
5 булок
6 и выпей
7 чаю


ответ: 1022211 (можно в столбик рядом со словами)

(можно повторить несколько (сколько?) раз на другом(каком?) наборе слов)

PS о субъективном факторе.
В одном отеле постояльцы жаловались на медленную работу лифта.
Хотели уже было менять лифт, да догадались повесить зеркало. ;-)
— Гость (04/07/2006 01:57)   <#>
Можно сделать так.

При создании логина пользователь получает мастер-пароль и несколько (5-10-20-100, не важно) одноразовых паролей. Их он респечатывает на листке и ходит с ним ... нет, не туда куда вы подумали, ходит с ним в Инет-кафе.

Каждым одноразовым паролем можно воспользоваться только один раз – ввел пароль, прочитал нужную инфу, сделал логофф. Вычеркнул этот пароль на листке. Больше с этим паролем зайти нельзя.

Если одноразовые пароли кончились, заходим со своего компа, вводим мастер-пароль (а может и действующий одноразовый, не знаю) и получаем еще лист с одноразовыми паролями.

Все. Все предельно просто.

Плохо то, что листок нужно носить с собой, и какой-нить пароль с этого листка можно подсмотреть (например камерой в смартфоне, когда он достает листок чтобы ввести очередной пароль). Но это уже второй вопрос.

Как вам идея? Есть ли уже такое? Или может есть какой-нить принципиальные недостаток такого варианта ?!
— Гость (04/07/2006 02:19)   <#>
И еще.

Конечно, про входе по одноразовому паролю, права пользователя должны быть ограничены – допустим можно только читать и отправлять сообщения. Все остальные функции доступны только про входе по местер-паролю.
— SATtva (04/07/2006 17:05)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Схема одноразовых паролей не нова и активнее всего используется западными банками. Клиент получает скрэтч-карту (вроде карты оплаты сотового оператора) с несколькими полями, закрытыми непрозрачной плёнкой. Когда клиенту нужно зайти на сайт банка, чтобы проверить свой счёт и выполнить какие-то операции, он счищает плёнку с одного из полей, вводит скрытый там пароль и вычёркивает его. Когда пароли на одной карте кончаются, он обращается в банк, где ему выдают новую.

Всё это красиво, но в тех целях, для которых такие карты придумали (защита от фишинга), работает плохо. Фишер просто заманивает клиента на поддельную логон-страницу, клиент вводит свои реквизиты доступа и одноразовый пароль, фишерское ПО передаёт эти же данные на подлинный сайт банка и получает доступ к счёту клиента. А клиенту выводится сообщение, что сайт интернет-банка временно недоступен и стоит попробовать позднее.

Конечно, если использовать эту схему в целях, оговорённых выше, т.е. для ограничения ущерба от компрометации пароля, она вполне подойдёт. Не уверен, правда, что распечатка множества паролей на одном открытом листе — это очень полезное дело: листик ведь может и "потеряться".
— Гость (04/07/2006 18:14)   <#>
Да-с, против "активного" фишинга такая схема не поможет, собственно как и другие схемы здесь предложенные.
Просто я предложил такой вариант как противодействие "любопытным админам" в Инет-кафе, которые уже ПОСЛЕ ухода пользователя будут просматривать логи (от кейлоггера, скрины экрана и тд) и пробовать получить доступ.

На случай "потери" листа, можно попробовать сделать так.
Есть 3 пароля – мастер-пароль, "открытый" пароль, которые пользователь запоминает, и лист с паролями. Чтобы получить доступ из Инет-кафе нужно ввести логин, "открытый" пароль и пароль с листка.

Чтобы получить доступ, нужно и помочь "потерять" листок и узнать "открытый" пароль.

При генерации нового листа с паролями "открытый" пароль тоже меняется на новый.

Понимаю, что все это сродни танцам с бубном – самое правильное решения это входить со своего ноута или наладонника.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3