Tastiera su schermo devi lavorare con un mouse? Copia e incolla? Digitare una stringa di caratteri casuali e quindi eliminare quelli estranei? Qualcos'altro?
Tastiera su schermo devi lavorare con un mouse? Copia e incolla? Digitare una stringa di caratteri casuali e quindi eliminare quelli estranei? Qualcos'altro?
Le tastiere su schermo non sono una soluzione in quanto qualsiasi keylogger può anche catturare schermate, che sconfiggono anche tastiere su schermo casuali. ( source )
The bottom line is simply this: you should never assume there's a way to bypass keystroke loggers. They could easily be more sophisticated than your attempts to work around them.
By far the only sure way to deal with keystroke loggers is simply not allow your machine to be compromised in the first place. (source)
Probabilmente uno dei modi migliori per proteggersi è essere sicuri che qualunque cosa tu stia correndo è libera dai logger. Ad esempio, è possibile utilizzare un DVD live (facile ed economico).
C'è un imminente prodotto "kickstarter" che sembra semplificare tale processo incorporando una micro-scheda all'interno di una tastiera, che può essere avviata invece del sistema operativo corrente o in un contenitore all'interno del sistema operativo attuale:
SilentKeys is a Plug'n'Play USB keyboard that protects you both off-line and on-line. Keep control over your privacy and safeguard your computer from viruses, snooping and hackers. Protect your keystrokes from key-loggers. Go anonymous at the push of a button. Encrypt your data and safeguard access to Paypal, Facebook, bank as well as all your on-line accounts and credentials.
Non sono ancora abbastanza familiare con quel progetto, quindi non posso raccomandarlo né spiegarne altri dettagli. Ho solo pensato che fosse interessante (non sono in alcun modo collegato a quel progetto).
NOTA: la mia risposta si basa sull'idea che stai cercando una soluzione in cui non ti fidi del computer che stai utilizzando (come in un luogo pubblico). Se stai parlando del tuo personal computer, allora ti consiglio vivamente di usare Linux e installare tripwire . Quel pezzo di software ti avviserà se uno qualsiasi dei tuoi file OS viene modificato in qualche modo. Potrebbe non essere efficace al 100% contro i key-logger in-memory, ma ti dà una maggiore conoscenza su cosa viene modificato nel tuo sistema senza il tuo consenso.
Se un keylogger è installato, sei perso. In tal caso, si può essere certi che sia installato un altro strumento software in grado di monitorare il computer.
Tuttavia, è possibile proteggere alcuni accessi utilizzando un dispositivo Yubikey o dispositivi simili. Possono generare password univoche uniche. Questo può funzionare solo se il sito web o il programma funziona con Yubikey.
Yubikey può memorizzare due password o metodi di password. Puoi scegliere ciò di cui hai bisogno. Per la seconda password è possibile memorizzare una stringa statica, lunga e difficile da digitare e indovinare. Puoi usare questo per aggiungere qualsiasi password tu voglia, come questa:
}v@+z5JLWf0'=y,6z?"~4FQ-Z]q7@Op<=yDr_^Xn
Quindi, per ogni accesso al sito Web, è possibile utilizzare una password breve unica, facile da ricordare, quindi questa lunga stringa. L'Yubikey agisce come una tastiera, entra nella stringa. Ma questo protegge dai keylogger? Io non la penso così
Oltre a questo, questo non funzionerà sempre bene, dato che alcuni siti non consentono determinati caratteri, o consentono solo 10 o 20 caratteri, ecc. Meglio usare Lastpass per questo, che fa lo stesso, ma poi con una password unica adatta per quel sito . Puoi proteggere il tuo account Lastpass con Yubikey! Entrambi sono strumenti utili per scopi diversi.
La mia conoscenza non è aggiornata, ma diversi anni fa ho lavorato in un'agenzia statunitense che voleva capire come massimizzare la sicurezza per gli utenti finali che utilizzavano PC che non erano sotto il controllo dell'agenzia, ad es. per alcuni utenti finali che si registrano da casa, dal datore di lavoro o dalla biblioteca pubblica.
Il più popolare a quel tempo era Zeus, e anche se Zeus aveva un keylogger, in pratica il keylogging è straordinariamente noioso perché la maggior parte delle sequenze di tasti non sono interessanti - un attaccante vuole rubare carte di credito / password / SSN, non leggere i messaggi istantanei. Moltiplicate questo processo su decine di migliaia di nodi infetti e potete capire perché gli hacker potrebbero non essere desiderosi di implementare i keylogger.
Zeus è stato in grado di infettare la memoria di processo di IE e poteva agganciarsi all'invio di moduli in modo che potesse leggere i valori direttamente da un modulo HTML, anche se il sito utilizzava TLS. Infatti, potrebbe essere configurato per catturare i solo moduli inviati su TLS, risultando in una concentrazione molto più alta di dati preziosi rispetto al keylogging di tutto ciò che l'utente ha digitato.
Il risultato? L'agenzia in cui lavoravo aveva diverse tastiere virtuali e pin virtuali distribuiti tra le sue diverse proprietà, e ognuno di essi era facilmente sconfitto dal registratore di moduli di Zeus. Come ho detto sopra, la mia conoscenza è datata; Posso solo supporre che i crimekits siano ancora più efficaci ora.
Se pensi che la probabilità che un computer abbia un keylogger è così alta che senti il bisogno di giocare per ingannarlo, non dovresti inserire alcuna password su quel computer. Questo è un gioco che molto probabilmente perderai, quindi è meglio non giocarci.
Detto ciò, se fossi in una sorta di emergenza e non avessi altra scelta che controllare la mia posta su un computer pubblico, avrei fatto qualcosa sulla falsariga del tuo ultimo suggerimento, mescolando input con tastiera e mouse. Inoltre, vorrei usare l'autenticazione a due fattori se questa è un'opzione.
Quindi, non appena sono arrivato a un computer sicuro, avrei cambiato la mia password per ogni evenienza. Perché se il computer fosse infetto, molto probabilmente la mia password verrebbe rubata comunque.
Se sviluppassi malware, non mi preoccuperei di registrare le sequenze di tasti. Invece collegherei i browser e leggo il contenuto di tutti i moduli prima che vengano inviati. In questo modo avrei comodamente ottenuto nome utente, password e sito tutto in una volta. Nessuna battitura di fantasia ti aiuterà contro ...
Lavorare con il mouse con la tastiera su schermo? Esistono keylogger in grado di acquisire le coordinate dei clic del mouse. Eppure, ci sono anche keylogger che catturano solo schermate. Quindi quel metodo non è veramente a prova di proiettile. Si chiama screen-capture.
Copia e incolla? No. Alcuni (imho, sofisticati) malware possono anche estrarre ciò che hai copiato dalla memoria. Inoltre, anche alcuni semplici keylogger hanno anche la possibilità di eseguire la registrazione dei moduli, in questo modo viene catturato tutto ciò che viene digitato o incollato in una casella di input. Non importa come sia arrivato (con la tastiera sullo schermo, digitando o incollando) è capover.
digita stringa casuale ed elimina caratteri? I keylogger acquisiscono anche backspace, tasti freccia, ... e inoltre, menzionano la registrazione dei moduli.
Che cosa dovrei fare allora? Bene, prima di tutto, assicurati di non essere infettato. Ad ogni modo, ci sono speciali browser di sicurezza che usano un tipo di sistema sandbox. SafeZone di Avast è un esempio. È un tipo speciale di browser che protegge le tue battute inviandole direttamente a quel browser. E poiché si tratta di una sandbox, altri malware come ad esempio i form-logger avranno difficoltà a estrarre informazioni da esso. SafeZone ha anche una protezione contro la cattura dello schermo. Ma menzionare, anche SafeZone non può sempre proteggere contro i key-logger hardware.
Se ti trovi in una specie di luogo pubblico. Puoi usare una chiavetta USB con un LiveOS Linux su di essa. Un LiveOS realizzato per sicurezza. Tails o QubesOS è adatto a questo. QubesOS funziona anche con un sofisticato meccanismo sandbox- / vm. Tuttavia, anche questo non protegge da hardware-keylogging.
Quindi, i browser di sicurezza / sandbox come SafeZone sembrano essere chiusi a ciò che si desidera. Un modo relativamente sicuro per digitare password / informazioni nei browser.
Leggi altre domande sui tag keyloggers