Lo scenario:
Abbiamo un sistema di login per un'applicazione web che richiede una password in chiaro e 3 immagini (da una raccolta di immagini che gli utenti selezionano durante la registrazione, le immagini sono fornite dal sito).
Un keylogger catturerà solo le sequenze di tasti e non le immagini dell'utente selezionato, giusto?
Basta questo per sconfiggere i keylogger?
No. I keylogger possono spesso eseguire anche la cattura dello schermo e la registrazione delle coordinate del mouse. Quindi l'attaccante può ancora vedere quale immagine l'utente seleziona.
Un altro tipo di autenticazione a due fattori per la quale l'utente ha bisogno di due dispositivi (ad esempio laptop e telefono) sarebbe più sicuro. Un'altra buona alternativa è un Yubikey. Un tipo di dispositivo che genera ogni volta una password pseudo casuale. In questo modo l'hacker / keylogger non può indovinare la prossima password.
Una volta che il sistema è stato infettato da malware, viene compromesso. Tutto ciò che viene fatto su quel sistema può essere osservato, quindi non c'è modo di permettere a qualcuno di accedere in sicurezza da quel sistema solo usando quel sistema. Periodo. Fine della storia.
Potresti escogitare qualche schema strano per qualcosa che l'utente deve fare come parte del processo di login che il malware non registra, ma non importa quanto tu faccia cose complesse o cosa fai per cercare di proteggere il malware processo sul sistema è in definitiva tutta la sicurezza dall'oscurità. Speri che il malware non abbia capito cosa stai facendo e abbia trovato un modo per raccogliere le informazioni di cui hanno bisogno per aggirarlo.
L'unico modo per rimanere sicuri è coinvolgere qualcos'altro che non hanno compromesso, l'autenticazione a due fattori AKA (TFA). Un codice da un portachiavi. Un codice inviato tramite SMS / chiamata telefonica automatica.
Sì, sarebbe strong er ... un po '. Non sta dicendo molto.
Se vuoi essere tecnico, un keylogger registra le chiavi. Nel mondo reale, molti "keylogger" registrano anche cose diverse dalle chiavi. Vedi queste risposte:
Posso proteggermi dal keylogging usando il mouse ?
Con che facilità i keylogger sventano?
Malicious software that only logs keyboard strokes rarely exists in the wild. Most key loggers for graphical interfaces (e.g. Windows) are more sophisticated and log all user interaction including mouse, copy and paste events by hooking into the operating system.
Key loggers are normally a small subset of a rootkit that may also include the ability to act as a man-in-the-middle (MITM) and capture your credentials or session information without logging any key strokes.
The best way to foil key loggers is not to have them.
Heck no.
Ciò detto, il tipo di mitigazione di cui parli potrebbe avere una piccola capacità di scoraggiare quei cappelli neri che raccolgono le password in massa, dal momento che sarà più difficile per loro pubblicare e raccogliere i pagamenti per i loro risultati ( è abbastanza facile fornire al cliente un file CSV di nomi utente e password, è un po 'più di lavoro includere immagini e clic del mouse per ogni vittima). Questa non è una buona ragione per andare nei guai, per essere onesti. Se sei preso di mira individualmente, lo schema di cui parli non offre quasi alcuna protezione.
Le immagini hanno ancora un ruolo nell'autenticazione-- puoi usarle per aiutare gli utenti a identificare gli attacchi di phishing fornendo immagini personalizzate-- ma in termini di sconfiggere i keylogger, devi davvero andare con OTP , ovvero con un portachiavi o fuori banda. Anche OTP non proteggerà dagli attacchi in tempo reale, ma è un ottimo modo per proteggersi dalla raccolta di password.
Leggi altre domande sui tag authentication malware web-application keyloggers