Wie Keyloggern bei der Authentifizierung von Zugriffen zu vermeiden sind

Question

Wie der Titel wirklich, was kann getan werden, um Schlüssel/Logging bei der Authentifizierung Zugriff zu besiegen?

Ich habe gerade eine verwandte Frage (how-to-store-and-verify-digits-chosen-at-random-from-a-pin-password) um Rat für die Auswahl von Zufallszahlen aus einer PIN/einem Passwort gebeten. Welche anderen, einigermaßen unauffälligen Methoden könnte es geben?

Alle und alle Lösungen geschätzt.

Answer 1

Ein Hardware-basierter Keylogger wird nicht durch irgendeine Lösung getäuscht, die die Verwendung einer Tastatur erfordert. Um diese zu umgehen, müssen Sie nur über die Maus Eingaben machen. Aber softwarebasierte Keylogger können gestoppt werden, indem ein Tastatur-Hook in Ihrem eigenen Code hinzugefügt wird, der die Schlüssel erfasst und nicht die nächste Hook-Prozedur in der Hook-Liste aufruft. Aber Tastatur-Hooks tendieren dazu, Antivirensoftware auszulösen, wenn sie falsch verwendet werden, und verursachen Fehler, wenn Sie sie in einer dynamischen Bibliothek mit dem falschen Parameter verwenden.
Und im Grunde verwendet ein Keylogger einen Keyhook, um Tastenanschläge zu erfassen. Wenn Sie Ihren eigenen Keyhook über dem Malware-Keyhook hinzufügen, deaktivieren Sie den Keylogger.
Es gibt jedoch Keylogger, die sich tiefer im Kernel verstecken, so dass Sie bald einen Keylogger haben, der Ihre Sicherheit wieder umgeht.

Konzentrieren Sie sich jedoch nicht zu sehr auf die Gefahr von Keyloggern. Es ist nur eine der vielen Methoden, die Hacker verwenden, um alle Arten von Kontoinformationen zu erhalten. Schlimmer noch, es gibt keine Möglichkeit, Ihre Benutzer vor Social-Engineering-Tricks zu schützen. Im Grunde ist der einfachste Weg für Hacker, Kontoinformationen zu erhalten, indem sie einfach ihre Opfer nach diesen Informationen fragen. Durch gefälschte Websites, falsche Anwendungen und alle möglichen anderen Tricks könnten sie einfach alle Informationen sammeln, die Sie schützen möchten, indem Sie Keylogger blockieren. Aber Keylogger sind nicht die größten Gefahren.

Ein Vorschlag war es, Bilder von niedlichen Kätzchen (oder Welpen) für den Benutzer zu klicken. Was Sie tun könnten, ist ein Satz von 10 Bildern und lassen Sie den Benutzer vier von ihnen als ihre "PIN-Code" auswählen. Wenn der Benutzer seinen Code eingeben muss, müssen die Bilder in beliebiger Reihenfolge angezeigt werden, damit Hacker den Standort nicht nutzen können. Wenn es sich um eine Webanwendung handelt, geben Sie den Bildern einen zufälligen Namen, und lassen Sie den Server einfach wissen, welches das ist. Um es noch komplexer zu machen, könnten Sie 10 Sätze von 10 Bildern erstellen, wobei jedes Bild ein einzelnes Objekt zeigt, aber aus einer etwas anderen Perspektive, einem anderen Winkel oder in einer anderen Farbe. Set 1 wäre ein Stuhl, Set 2 ein Tisch, Set 3 ein Kätzchen, Set 4 ein Welpe, etc. Der Benutzer muss sich dann nur noch erinnern: Tisch, Kätzchen, Stuhl, Welpe. (Oder Welpe, Stuhl, Stuhl, Tisch. Oder Kätzchen, Welpe, Welpe, Welpe ...)

Answer 2

Sie könnten ein anklickbares Bild mit den Buchstaben darauf haben. Ihre Benutzer werden jedoch ziemlich wütend sein ...

Answer 3

Sie können nur die Bildschirmtastatur verwenden, um ein Passwort einzugeben.

Oder Sie können Modul schreiben (auf Flash zum Beispiel) für die Handschrift (per Maus oder Stillus) Passworterkennung.

Answer 4

Der einzige wirkliche Weg ist eine richtige Zweit-Faktor-Authentifizierung: Entweder etwas ist die Person: Fingerabdruck, Iris-Scan. Oder etwas, was sie haben: einmalige Passwortliste/Generator; Krypto-Generator.

Answer 5

Eine Lösung, um Keylogger zu besiegen, ist es egal, wenn sie erfassen, was Sie tippen.

One-Time-Passwörter (Suche: "OTP") sind eine Lösung. Smartcard-Authentifizierung ist eine andere.

Answer 6

Angenommen, dass nur die Tastatur und nicht die Mauseingabe erfasst wird, können Sie das Passwort in der falschen Reihenfolge eingeben, indem Sie den Cursor mit der Maus bewegen.

Ich mag den One-Time-Ansatz aber besser.

Answer 7

Wie wäre es mit einer Variation des Standardpasswortes? Zum Beispiel könnten Sie eine Liste von Wörtern haben und Programm willkürliche Buchstaben von jedem Wort lassen. Außerdem würde es ein Wort von der Liste weglassen, an dem sich der Benutzer erinnern und es eingeben müsste.
Wenn die Wörter einen Satz bilden, wäre es einfacher oder Benutzer, sich daran zu erinnern, aber andererseits wäre die Erstellung des Satzes schwieriger, weil Sie Wörter verwenden müssten, die aus dem Kontext des Satzes nicht erraten werden können.
Eine andere Variante könnte sein, dass das Programm nach dem Zufallsprinzip gefragt wird, ob der Benutzer alle Buchstaben i durch 1 oder a mit 4 ersetzt oder den Buchstaben R nach jedem dritten Buchstaben A oder ähnlichem setzt.

Grundsätzlich haben ein Passwort, das zufällig geändert werden würde und haben Anweisungen angezeigt, wie Benutzer das Passwort ändern können.

Nun, da ich daran denke, ich bin nicht sicher, wie unauffällig meine Ideen sind ...

Answer 8

Das Online-Banking-Portal von meiner Bank hat eine schöne Art und Weise, die ich sehr unauffällig finden. Bei der Erstellung des Accounts definieren Sie eine 6-stellige PIN (zusätzlich zu einem normalen Passwort). Nachdem Sie Ihr Passwort eingegeben haben, werden Sie an 2 zufälligen Positionen nach 2 Ziffern der 6-stelligen PIN gefragt. Wenn Ihre PIN beispielsweise 654321 lautet, werden Sie nach den Ziffern 2 und 5 gefragt, und Sie klicken auf 5 und 2 (mit einem Nummernblock mit Ziffern zum Klicken). Selbst wenn Sie die Ziffern mit Ihrer Tastatur eingeben würden, wäre es immer noch sicher, da der Angreifer nicht weiß, nach welchen Ziffern Sie gefragt wurden (außer er fängt den Bildschirm ebenfalls auf, vielleicht mit Sturm).

Also, kurze Antwort: Fragen Sie nur nach einigen Teilen des Passworts/PIN, in zufälliger Reihenfolge. Die Verwendung der Maus durch den Benutzer erhöht die Sicherheit.

Eine weitere Idee: Wenn Sie eine PIN (numerisches Passwort) haben, fragen Sie den Benutzer nach Änderungen bestimmter Ziffern, z. "2. Ziffer plus 3, 4. Ziffer minus 1".