Posso ingannare i keylogger simulando tratti di chiave falsi?

3

Sto facendo un'applicazione per PC con autenticazione. Sta usando una crittografia salata e funziona bene per quanto riguarda la sicurezza. Ancora la mia preoccupazione principale ora è con i keylogger. Quindi ho pensato che forse avrei potuto risolvere (in modo molto primitivo) questo problema.

Ho pensato che il modo migliore per farlo sarebbe quello di fare in modo che l'applicazione si simuli da tastiera e digiti caratteri casuali accanto alla password dell'utente. So che è un campo lungo ma non riesco a capire perché non funzionerebbe. (Sto parlando di keylogger software, non di hardware.)

Posso ingannare un keylogger simulando la pressione dei tasti con un'app?

    
posta PeterKima 10.03.2017 - 10:53
fonte

1 risposta

3

A seconda del sistema operativo, potrebbe essere banale per il keylogger distinguere diverse fonti di input e filtrare i caratteri casuali. E anche se questo non è il caso, ci sono molti posti oltre alla tastiera dove un bravo trojan cercherà le password, come il contenuto della RAM e gli screenshot.

A parte questo, il tuo metodo funzionerà solo se introduci molti caratteri casuali. Supponiamo che il keylogger abbia catturato una sequenza di N caratteri corrispondenti a M caratteri della password e N-M caratteri casuali aggiunti dal tuo metodo. Supponendo che M sia noto, ci sono C(N,M) di password possibili da attaccare per provare. Ad esempio, se il keylogger ha catturato 16 caratteri e la password è lunga 8 caratteri, l'hacker scoprirà la password corretta in

C(16,8) = 12870 attempts

Se la lunghezza della password non è nota, l'autore dell'attacco potrebbe semplicemente scorrere tra diversi valori possibili. Ad esempio se nell'esempio sopra la password è nota per essere compresa tra 8 e 16 caratteri, l'utente malintenzionato dovrà provare 39203 possibili password.

Solo quando aggiungi circa 250 caratteri casuali alla tua password di 8 caratteri, la difficoltà di scomporre i dati del keylogger diventa uguale alla forzatura bruta di una password alfanumerica. A questo punto, dovresti assicurarti di avere un buon generatore di caratteri casuali, perché questi 250 caratteri potrebbero essere sufficienti per craccare quelli banali.

    
risposta data 10.03.2017 - 11:42
fonte

Leggi altre domande sui tag