id: Гость   вход   регистрация
текущее время 11:42 28/03/2024
Автор темы: Rabby, тема открыта 18/05/2006 08:58 Печать
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ЯвляетсяЛиВиртуальнаяКлавиатураПанацеейОтКейлоггера
создать
просмотр
ссылки

Является ли виртуальная клавиатура панацеей от кейлоггера?


Как правило, находясь где-либо в отпуске, вне дома:


1) стараюсь временно пересылать (с оставлением копий) сообщения со своих "важных" приватных ящиков в один "бросовый" (например на yandex.ru или mail.ru), чтобы не светить первые;


2) сидя в в интернет-салоне и соединяясь с "бросовым" ящиком по обычному http посредством веб-интерфейса, стараюсь (хотя и отлично понимаю малую надежность такого способа) максимально затруднить местному админу распознавание того момента, когда я набираю на клавиатуре связку "логин+пароль".


Например, попутно с веб-браузером открываю блокнот, набираю там невообразимую абракадабру, типа gfjhgjf12345hgjfhgj089769, при этом – 12345 является моим логином.


Копирую получившуюся фразу через буфер в окно ввода логина на странице mail.ru (предварительно запомнив, сколько "ненужных" символом стоит перед цифрой "1", потом стираю их "бэкспейсом". Затем такая же операция проводится с лишними символами, стоящими после "12345". Потом могу после логина опять вручную впечатать пару ненужных символов, потом – опять стереть их.


Когда логин приходит в "нормальное" состояние, такие же операции провожу с набором и вводом пароля. Потом пару раз нажимаю Enter где-нибудь в блокноте, потом, дополнительно – в соседнем окне браузера, допустим – в адресной строке, чтобы обновить какую-то другую страницу. И лишь потом – Enter, активирующий вход в почтовый ящик...


Словом, создаю поток "мусорных" символов, чтобы среди них не слишком просто было бы распознать логин и пароль. Хотя я прекрасно понимаю, что они все равно передадутся на почтовый сайт в открытом и неизменном виде. Просто здесь надежда на то, что админ в интернет-кафе (а там всегда почему-то попадаются девочки, изредка мальчики, лет до 20 и с навыками и умениями деревенской козы) попросту не сможет или не захочет разбираться в абракадабре...


А вот любимая лично мною :D и всячески рекомендуемая здесь, на форуме, почтовая израильская служба на https://www.safe-mail.net ввела недавно такую опцию, как ВИРТУАЛЬНАЯ КЛАВИАТУРА, причем установленную на стартовой странице (т.е. вовсе не для удобства набора ПИСЕМ), а для того, чтобы затруднить перехват логина-пароля в местах публичного пользования интернетом.


Вопрос 1 – насколько такая мера спасет от кейлоггера и последующего перехвата логина и пароля? Является ли она АБСОЛЮТНО надежной?


Вопрос 2 – при работе с указанным ящиком на https://www.safe-mail.net в онлайн-режиме, т.е при помощи веб-интерфейса, отправляемые и принимаемые данные гуляют туда-сюда, защищенные httpS. Но может ли кейлоггер, установленный на конкретной "публичной" машине, допустим, в том же интернет-кафе, перехватить НАБИРАЕМЫЙ с клавиатуры текст письма?


Отвечу себе сам – да, с вероятностью почти в 100%. Как эффективно разрешить эту проблему? Допустим, набирая текст письма на еще одной виртуальной клавиатуре, типа Virtual Keyboard от Андрея Коха с сайта http://www.andrej-koch.de? Но ведь все равно – текст может быть перехвачен в момент его передачи с виртуальной клавиатуры через буфер обмена в окно набора сообщения почтового интерфейса? Что здесь можно придумать?


 
На страницу: 1, 2 След.
Комментарии
— SATtva (04/07/2006 18:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Чтобы получить доступ из Инет-кафе нужно ввести логин, "открытый" пароль и пароль с листка.

Оригинальная мысль. Нечто сродни криптографической "привязке" (salt). Такой пароль может быть и сравнительно простым, допустим, три-четыре случайных символа. Я поддерживаю.

Проблема, в которую всё упирается, — это поддержка (вернее, отсутствие оной) подобных схем различными интернет-сервисами.

Понимаю, что все это сродни танцам с бубном – самое правильное решения это входить со своего ноута или наладонника.

Это если дадут. Часто у нас (не за рубежом) администрация кафе к таким просьбам относится крайне настороженно. Точки беспроводного доступа WiFi в этом смысле предпочтительнее, но ими, опять же, не все кафе оборудованы.
— unknown (04/07/2006 20:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
2 АЗ:

Я знаю, что схемы, претендующие на криптостойкость есть и похожи на то, что Вы описываете. Но всё построено только на графических элементах. Их нужно выбирать по определённому правилу.
В Вашем посте был правильно указан принцип доказательства знания. Противник может подсмотреть процесс ввода графического пароля или снять на видеокамеру, но воспроизвести не сможет. Сам пароль постоянный и остаётся "в голове", а сеанс его ввода одноразовый, каждый раз выглядит по разному.
— unknown (04/07/2006 20:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот популярная статья, но исходные материалы я не читал и не знаю насколько эта схема надёжна, хотя в серьёзных публикациях проскакивало что-то похожее.

http://www.membrana.ru/article.....06/01/25/192400.html
— Rabby (04/07/2006 22:26)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Спасибо всем, кто поддержал начатую мною дискуссию, в особенности unknown'у, который дал интересную идею.

Вот источник, читайте:
http://clam.rutgers.edu/~lsobr.....sword/help/help.html

(я уже скачал – 1,7 Мб; сейчас буду пробовать)

ВАЖНО: Требует предварительной инсталляции . NET 1.1 – а это еще > 23 Мб + пакет локализации 1,2 Мб. Ссылка на закачку . NET framework:

http://msdn.microsoft.com/netf.....owtoget/default.aspx
— Гость (05/07/2006 01:32)   <#>
A почему калькулятор?
В современный мобильник можно запрограмировать настоящюю однонаправленую функцию (или блочный шифр). На экране показывается восмизначное число, вы его вводите в мобильник, а то что вам показывает мобильник, вводите как пароль.
Дешего и сердито.
— Гость (05/07/2006 04:43)   <#>
Д. Надь
Очень интересная идея!!! Этакий light-вариант собственного КПК.

В "настоящую однонаправленную функцию" кроме 8-мизначного числа должен вводиться еще и личный пароль по памяти, чтобы мобильник нельзя было тихо спереть.
— Rabby (05/07/2006 08:28)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Ночью попробовал указанный выше софт.
Выглядит прикольно. Действует прикольно (ну, на уровне демо-версии, которая ничего не шифрует, а показывает принцип действия).

Если бы прикрутить ее куда-то реально – цены бы не было!

О! – появилась идея: попросить SATtvу сделать такой вход на форум: ГАРАНТИРОВАННО отпадут все, даже самые злостные спаммеры, ибо просто устанут 12(!) или более раз пытаться найти нужные элементы в сильно зашумленном другими элементами поле :D ... да еще и мысленно соединить их воображаемыми линиями! :D

Впрочем, у меня эксперимент удался с первого раза. :D
— Гость (05/07/2006 14:49)   <#>
ent:
Очень интересная идея!!! Этакий light-вариант собственного КПК.

Самая главная разница в том, что мобильник почти у всех есть, а КПК почти ни у кого нет. Также КПК слишком универсален и из-за этого так же уязвим, как остальные ПК.

В "настоящую однонаправленную функцию" кроме 8-мизначного числа должен вводиться еще и личный пароль по памяти, чтобы мобильник нельзя было тихо спереть.

Это черезмерно. Пароль (от которого происходит ключ MAC) достаточно ввести один раз. Потом уже достаточен четырехзначный PIN. Пока вор мобильника будет с ним мучаться, можно сообщить в службу безопасности и запретить доступ по данному ключу.

Проблема не в этом. Дело в том, что эта мера защиты только против identity theft (как это по-русски?). Одну транзакцию фишер всетаки может провернуть в реальном времени.

Против этого тоже можно защититься при помощи мобильника, но это не так удобно (или не так дешего).
— SATtva (05/07/2006 17:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
О! – появилась идея: попросить SATtvу сделать такой вход на форум: ГАРАНТИРОВАННО отпадут все, даже самые злостные спаммеры,

Боюсь, тогда придётся переформулировать Вашу фразу так:
ГАРАНТИРОВАННО отпадут все.

[quote:6681a2a462="Д. Надь"]Дело в том, что эта мера защиты только против identity theft (как это по-русски?)

Общепринятый перевод — "похищение личности", но это не совсем корректно. Личность (personality, individuality) никуда не девается (в принципе не может), похищаются только идентификационные данные, отличительные особенности как информация (identity). В общем, это как с privacy — адекватного перевода нет, а те, что приняты, не совсем верны, точны или полны.
— Rabby (05/07/2006 22:57)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
О! – появилась идея: попросить SATtvу сделать такой вход на форум: ГАРАНТИРОВАННО отпадут все, даже самые злостные спаммеры...



Боюсь, тогда придётся переформулировать Вашу фразу так:
ГАРАНТИРОВАННО отпадут все.

:D :D :D Это еще одна идея!

[quote:99014dd10b="Д. Надь"]Дело в том, что эта мера защиты только против identity theft (как это по-русски?)

Общепринятый перевод — "похищение личности", но это не совсем корректно. Личность (personality, individuality) никуда не девается (в принципе не может), похищаются только идентификационные данные, отличительные особенности как информация (identity). В общем, это как с privacy — адекватного перевода нет, а те, что приняты, не совсем верны, точны или полны.



Не "по-рюсски", :D но по-чешски: из одного детектива времен моей молодости и социалистической Чехословакии (чтобы более точно передать смысл приведенного термина:

"Стало быть П. похитил у [убитого] брата не бумажник, а документы, вернее, даже не документы, – он устранил "возможность идентификации", понимаете, имя похитил, чтобы брат исчез совершенно..."

© Svatopluk Zlamany. Hra na slepou babu.
— Гость (06/07/2006 02:00)   <#>
Нет, это будет не "гарантированно отпадут все", это будет ПОЛНЫЙ ОТПАД!!!
— Гость (06/07/2006 17:38)   <#>
[quote:12864f26c0="Д. Надь"]Одну транзакцию фишер всетаки может провернуть в реальном времени.

Против этого тоже можно защититься при помощи мобильника, но это не так удобно (или не так дешего).
]>
Просто надо в качестве запроса демонстрировать хэш существенных характеристик транзакции ( например сумму и реквизиты платежа). И тогда "человек в середине" лишь сможет лишь воспрепятствовать её проведению, но не более.
— Гость (06/07/2006 19:26)   <#>
Хотя, конечно, дополнительно к хэшу, в телефон придётся вводить и сумму, и номер счёта, чтобы телефон подтвердил, что это хэш именно этих данных. Что, конечно, менее удобно. Но можно предоставить как опцию против фишинга.
— Гость (06/07/2006 19:38)   <#>
Кстати как насчёт PGP для телефона?
— Гость (23/07/2006 23:37)   <#>
АЗ:
Кстати как насчёт PGP для телефона?

http://pgpru.com/forum/viewtopic.php?t=1701
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3