Sto cercando di migliorare la sicurezza in un'applicazione web. L'applicazione ha un sito admin e i keylogger sono una preoccupazione che sto cercando di risolvere. L'applicazione può fare qualcosa che possa impedire il corretto funzionamento dei keylogger? Ho letto sul software di interferenza di Keystroke (per ogni battitura di utente aggiungono casualmente più tasti che non interferiscono con l'input dell'utente), può qualcosa del genere essere fatto in javascript?
Molte applicazioni rendono inutile il tentativo di sventare keylogger e spyware utilizzando metodi di immissione password complicati (e ingombranti). Nessuno funziona contro i keylogger e molti in realtà fanno sì che gli utenti siano meno sicuri perché rendono difficile l'uso di gestori di password.
Il modo migliore per gestire questo tipo di cose è utilizzare password monouso. Ci sono diversi modi per farlo, quindi lasciami suggerire due: TOTP ( RFC 6238 ) funziona con molti software di autenticazione (Google autenticatore, ad esempio), quindi è sia conveniente che economico da implementare e da usare gratuitamente. Tuttavia, richiede all'utente di configurare le cose e avere uno smartphone.
Un altro approccio per inviare una password una tantum tramite SMS. Questo è un po 'più costoso (perché devi inviare il messaggio) ma è anche più facile per l'utente (chi ha solo bisogno di un telefono cellulare e nessuna configurazione).
Se avevi a che fare con keylogger in isolamento, allora potrebbe essere possibile mitigare il rischio (ad esempio usando tastiere su schermo, 2FA o simili), tuttavia se un utente malintenzionato ha la possibilità di installare un logger di battitura sul sistema è molto probabile (a parte i logger fisici di battitura) che abbiano un accesso privilegiato al sistema in questione e in quanto tale sarebbe probabilmente in grado di aggirare eventuali altre protezioni che hai messo in atto (supponendo che siano motivate a farlo)
Ad esempio, poiché si tratta di un'applicazione Web, supponiamo di implementare 2FA, una volta che l'utente si è autenticato, viene rilasciato un token di sessione e in generale rimane valido fino a quando si verifica un timeout di inattività o l'utente si disconnette esplicitamente. Se un utente malintenzionato ha accesso privilegiato al sistema, è possibile che inviino richieste "keep-alive" per impedire il blocco inattivo e utilizzare il browser injection per annullare il logout.
Se sei preoccupato per gli utenti che accedono a un sistema privilegiato da client compromessi, la soluzione migliore consiste nell'utilizzare dispositivi dedicati / bloccati e limitare l'accesso solo a tali dispositivi.
JavaScript non può controllare le chiamate di sistema basse e cambiarle per ottenere l'interferenza dei tasti. Persino le protezioni del software in modalità utente vengono annullate dal keylogging in modalità kernel.
Puoi proteggerti dai keylogger hardware avendo una tastiera su schermo , che può essere facilmente implementabile .
I keylogger del software sono più potenti. I trojan di smart banking catturano anche richieste HTTP e screenshot quando si fa clic con il mouse sul sito web bancario. Alcuni anche rubare password monouso o ignorarle .
Se sei preoccupato per i keylogger che registrano i tratti chiave (immissione manuale della password) o copia / incolla (gestore password), devi usare il mouse:
o un altro dispositivo (periferico):
Leggi altre domande sui tag web-application protection keyloggers