我有人告诉过这种方法,虽然我不确定这种方法是否可行,但是如果您在网吧,那么欺骗所有按键记录者的一种方法是避免一次性输入密码。而是输入部分密码,然后插入一些随机字母,然后使用鼠标突出显示随机字母,然后覆盖它们。据说这会愚弄关键记录者,以为您的密码中包含随机字母。
所以,我想知道这是否真的有效?我还能使用其他更好的方法吗?
#1 楼
如果您不信任媒体:请勿输入敏感信息。以某种晦涩的方式输入密码只是这样:通过晦涩难懂的安全性,这是行不通的。输入用于下次登录的更改,请参阅一次性密码。 (请注意:“ 2-factor-authentification”是一种混合方案,您已经知道一半的密码(保持不变/静态),然后通过短信或其他任何方式获得另一半;第二半是-时间密码)评论
“通过默默无闻的安全措施,这是行不通的。”除了什么时候。这条线总是重复出现,但是在许多情况下(例如这种情况),通过默默无闻的安全措施可能会非常有效。如果一个用户模糊了他们的数据,而其他数百个没有,他们是否会费心去消除它的模糊性呢?
–杰里米
2011年8月15日在22:56
也许他无法控制身份验证方法。例如,我不确定您是否可以使用基于短信的密码登录Google。
–路易斯·瑞斯(Louis Rhys)
11年8月16日在1:40
@杰里米·班克斯(Jeremy Banks):关键是它“最终”会有所帮助。我对“最终他们不嗅我的东西”不感兴趣,我想确定。而且我无法确定我是否真的输入了身份验证,即使以某种模糊的方式也是如此。
– akira
11年8月16日在6:40
@路易斯,你可以。从您的Google帐户设置中,您可以激活两步激活。
–杜纳里尔
2011年8月16日上午8:11
@akira-但是您没有更好的解决方案!最好使用密码输入法。这是一个好主意,我看不出你为什么贬低它?
– Tomas
2011年9月8日15:45
#2 楼
如果不能确定(也不能捕获)击键,请使用任何一种两因素身份验证。请确保您的密码本身不起作用!
确保数据安全的唯一方法是避免将“所有内容”输入到可疑机器中。
鉴于键盘记录器是您唯一关心的问题(例如,没有复杂的跟踪软件):
例如,您可以将带有所有重要密码的USB驱动器与KeePass Portable一起携带在KeePass容器中。打开KeePass便携式计算机后,请使用KeePass容器的主密码。是的,您将冒着被捕获的风险,但是要解锁容器,您还可以将KeePass配置为也使用密钥文件。没有此密钥文件,主密码将无用。此密钥文件可以存储在同一拇指驱动器上,也可以与原始拇指驱动器分开存储。
打开KeePass容器后,您可以使用KeePass功能您无需输入即可输入密码:
KeePass可以使自身最小化,并在对话框,Web窗体等中键入当前所选条目的信息。当然,键入顺序可以100%用户自定义,请阅读文档文件。
KeePass具有全局自动键入热键。当KeePass在后台运行(具有打开的数据库)并按热键时,它将查找正确的条目并执行其自动键入序列。
此但是不会欺骗监听键盘缓冲区的按键记录程序。内置在键盘连接中的键盘记录程序将毫无用处。
更好的选择:
所有字段,标题,用户名,密码,URL和注释可以拖放到其他窗口中。
这样,您就无需键入除主密码之外的任何密码,您可以随时“抛弃”并在需要时进行更改。
评论
您应该在“确保密码本身不起作用!”之后停止操作。我永远不会将USB记忆棒和敏感数据附加到我不知道的盒子上,然后解密它。
– akira
2011年8月15日14:29
好吧,取决于数据的敏感程度。并且:如果只在谈论键盘记录器,那么这绝对是克服密码被窃听的方法。
–slhck
2011年8月15日14:32
如果您不信任媒体:请勿解密任何信息。不是truecrypt容器,不是keepass容器,什么也没有。如果数据不敏感,那么为什么要首先加密呢?这就像在防弹盒中保护您的信用卡,然后将其交给一个您不认识的人一样,后者只是“检查另一间房间的信用卡” ...
– akira
2011年8月15日14:35
KeePass在这种情况下将不起作用-“自动键入”功能仅-将字符输入到键盘记录程序正在监视的同一键盘缓冲区中。
– CJM
2011年8月15日15:11
@CJM是的,不过可以拖放。不过,这不是一个完美的解决方案,我承认。
–slhck
2011年8月15日15:56
#3 楼
我可以看到两种方式:使用一些虚拟键盘解决方案。您可以单击鼠标来输入密码,这将避免使用键盘记录器(但可能不能避免基于鼠标单击的记录器)。但是,这将是一种安全级别。
您只需在密码框中输入错误的密码,然后用鼠标将其选中(将错误的键替换为true)即可;键入真实密码的前3个字符,键入3个错误的密钥,选择后3个无效字符,然后键入3个正确的密钥替换无效的密钥。
评论
请注意,如果说在网络浏览器(例如lazarus)上安装了一个javascript扩展名,它说要记录以html形式输入的所有内容,那么这两种方法都不行。 (他们会避免使用硬件键盘记录程序)。
– jimbob博士
2011年8月15日在18:20
正如我所说,这将是安全的“一层”。这不是最终的解决方案,但我认为它将成为其中的一部分。
–圣地亚哥
2011年8月15日在18:25
我认为它们不是最佳解决方案的一部分:带来您可以信任的硬件。我想它们可能是从您带来并可以信任的实时CD / USB启动OS的下一个最佳选择的一部分。否则,它是一个非常薄弱的安全层,例如将ssh端口更改为1022,同时使root / root的登录名/密码组合有效;或认为使用没有CA签名证书的https可以免受MITM攻击。
– jimbob博士
11年8月15日在19:36
如果键盘记录器正在钩住键盘中断,它不会得到在VR键盘中键入的键吗?
–安德鲁·尼利(Andrew Neely)
2011年8月15日在20:16
真是的StickBump提出的解决方案都不安全。它们非常容易被击败,并且一些现有的恶意软件已经可以这么做。不要遵循此建议!这不安全。
– D.W.
11年8月16日在2:26
#4 楼
您正在处理几种威胁;但从根本上讲,您要问的是-使用潜在的恶意硬件-不安全,应出于敏感目的而避免使用。 (例如,尽量不要在假期中登录您的银行帐户)。但是,如果您愿意冒险但又希望将其最小化,那么这就是您的威胁:硬件键盘记录程序。购买不到30美元的键盘背面的简单附件即可存放每个按键。因此您会看到有人去某个网站,输入登录名,然后输入密码,以后可以很容易地将其解密。修改现成的键盘以在内部自动执行此操作并不困难;因此不要相信您的安全,因为您在背面看不到附件。
软件键盘记录程序。操作系统可能正在运行键盘记录程序/鼠标记录程序/屏幕捕获例程,该例程原则上可以重播您执行的每个操作。
欺骗的DNS /在MITM的浏览器上安装的伪造的证书已损坏,甚至SSL站点也是如此。
一个浏览器扩展程序/黑客,它记录了在html表单字段中键入的所有文本(包括密码)。使用SSL(带有适当的证书以防止MITM)。
这五个方法中最容易预防的是;对未加密的站点使用ssh / vpn隧道,或对通过适当证书签名的站点使用HTTPS(带有SSL)。
您最好的选择还是使用自己的硬件(带智能手机;便宜的上网本/平板电脑)–消除了#1-#4威胁;和标准的良好做法可以防止#5。
第二种最佳选择是从自己的实时CD引导到您选择的来宾OS,然后使用类似您自己的方法来遮掩键盘记录器的密码。那可能是输入一半字符(不一定按顺序输入;然后从网页/ URL上的字母中剪切并粘贴另一半)(最好仅使用鼠标执行此操作),例如在gnome中,如果您选择一个字符用鼠标中键将其粘贴)。使用现场CD可以防止#2&#3&#4。您仍然容易受到#1的攻击,但是您可以适当地使普通键盘记录程序的密码晦涩难懂,尽管他们可能已经恢复了部分密码,但他们并没有完整的东西(我也不会从切割中获得全部密码并粘贴(以防它们正在录制/克隆正在监视器上显示的视频)。我仍然建议您回到家后更改密码。
如果您无法启动进入来宾操作系统,则可以;我认为输入的任何数据都受到损害。您可以采取一些措施使其变得更加困难(例如,下载并运行新的Web浏览器;尝试通过无序键入/剪切和粘贴部件的方式来掩盖您的密码;等等),但原则上他们可以获取数据如果他们想要的话。
评论
+1用于使用基于威胁的方法来确定适当的安全控制。
–克里斯托弗
11年8月16日在14:12
#5 楼
可能,尽管可能不是很实用的解决方案。带上自己的PC,在Linux中启动并使用网吧的网络连接
没有多少人会允许您这样做,但是有些
评论
是的,或者只是使用智能手机(或*书)访问网吧的wifi,然后建立到目的地的加密隧道。
– akira
2011年8月15日下午14:31
它是完全实用的(使用笔记本电脑),并且不必是linux。恕我直言,这是唯一有效的解决方案。
– rjmunro
2011年8月15日在20:33
我说linux的原因是许多网吧都挤满了Windows病毒。他们不太可能攻击Linux系统。(我想Mac也可以这样做)个人经验是,一旦我将具有McAfee(主要是公司安全性)的防火墙系统连接到网吧wifi网络上。它被钉在<30秒内(无限弹出窗口+无法启动)
– Akash
11年8月17日在9:26
@Akash:此外,还有可通过CD启动的(因此实际上是只读的)Linux发行版;我还没有看到可以从CD引导并且可以使用的功能齐全的Windows安装程序。
– Piskvor离开了建筑物
2011年9月6日下午12:27
#6 楼
您可以启动Linux Live USB。除非按键记录器是基于硬件的,否则这将是安全的。空军有一个为此目的而设计的发行版。它不会安装本地硬盘驱动器,因此无法在本地保存任何内容。该发行版称为LPS(轻量级便携式安全性)。我每天都用。您可以在这里下载评论
我认为大多数网吧都不会对您启动自己的操作系统产生好感。
– Kibbee
11年8月15日在16:37
@ Kibbee在后角弄一台机器,尽量不要看起来可疑?
–扎克
2011年8月16日,下午3:16
然后,您如何连接到网吧的互联网连接?个人经验表明,在咖啡馆的连接中始终需要某种密码。所有者可能不喜欢在他不认识的环境中输入相同的内容。
–Vaibhav Garg
2011-09-8 11:14
#7 楼
我会用一次密码。某些站点确实提供了屏幕虚拟键盘(每次单击时都会更改位置),但是如果有按键记录器,则很有可能存在间谍软件。因此,我不会选择使用拇指驱动器来存储敏感信息,例如密码和SSN。
#8 楼
我通常要做的是将ubuntu实时地加载到USB闪存中,在无法找到caffe所有者的角落里选择一台计算机,插入USB闪存,然后重新启动进入ubuntu。我得到的是一个安全的环境。#9 楼
这里有一些很好的建议。我会建议您在下一次机会时使用受信任的Internet连接更改密码。即使有人设法获得了您的密码,也有可能您可以在使用它之前对其进行更改。如果他们使用的是硬件键盘记录器,并且必须稍后再取回,则尤其如此。
当我在远离家乡的机场时,我意识到了无线网络我连接的网络可能不合法。我已经连接到网络时登录了GMail,所以为了安全起见,我打电话给我的家人,告诉他们我的GMail密码,然后让他们将其更改为其他密码。他们写下了他们选择的新密码(没有通过电话告诉我),当我回到家时,我从他们那里得到了密码。
#10 楼
如果您使用openid或类似yubikey之类的方式使用一次性密码,即使他们确实使用了密码,也无法重复使用问题是USB端口访问
yubikey显示为USB键盘,因此不需要管理员级别的驱动程序
#11 楼
我看到很多银行都这样做。他们的密码字段只能通过在随机放置在页面上的屏幕键盘上键入来填充。因此,无需单击任何按键,而只需单击鼠标即可。此外,如果密码的长度为8个字符,他们只会要求您键入某些字符,因此您可能会看到类似X00XXX0的内容,其中只需要在屏幕键盘上键入以0表示的密码字符即可。在屏幕键盘和鼠标单击上随机放置的组合以及要键入的随机选择的字符会导致可能已记录无用的任何鼠标单击位置。
,
评论
我不知道这些便宜的按键记录器,我在6年前见过流血,但具有屏幕捕获功能,所以真的:我只需要您登录几次即可。或者成为一个更大的混蛋并捕获IE中的事件。
– StrangeWill
2011年10月31日在16:43
#12 楼
您可以将所有电子邮件转发到一个临时帐户,然后在返回时将其删除。这样可以减少在您外出时拦截发送的电子邮件以及劫持临时帐户的可能性。如您所知,它已经遭到破坏。这不是一个完美的解决方案,但是即使攻击者设法窃取了密码,它也为您提供了一定的保护。
#13 楼
带上自己的设备并使用加密的连接。#14 楼
除了已经说过的内容外,您还可以考虑携带一个小型USB随身碟,其中包含可启动的TAILS OS(Amnesic Incognito Live System的缩写),默认情况下,它会通过Tor路由所有Internet流量,并且不会在本地存储任何内容重新启动后,硬件上的所有操作都会被清除。如果您更希望使用Tor的事实在本地网络管理员/ ISP /政府中仍然未知;您应该将Tor / Tails配置为使用网桥模式
注意,但是Tor并不是所有解决方案的灵丹妙药,在信任带有敏感信息的任何软件之前,您应该阅读相应的文档。
此外,由于Tor的体系结构用户名/密码信息可以通过其混淆网络中的第三跳(在所谓的出口节点中)观察到,因此您应该使用HTTPS来防止这种情况。[*]尝试使用EFF的HTTPS Everywhere扩展名可以使其更容易。 br /> [*]例如:有线点com / politics / security / news / 2007/09 / embassy_hacks?currentPage = all
#15 楼
您正在混淆两个不相关的问题。键盘记录器是已安装在计算机上的程序,用于在您进行实际击键时对其进行监视。它与咖啡馆或其他公共网络无关。如果您的计算机遭到了黑客攻击,那么您的忧虑就更大了,但是您提到的方法可能会使简单的键盘记录程序感到困惑。看到您要发送的内容。您可以仅使用启用了SSL的安全网站来进行保护,以便对连接进行加密。评论
codebutler.com/firesheep
– deizel
2011年8月15日15:52
“键盘记录器是一个已安装在计算机上的程序,用于在您进行实际击键时对其进行监视。”也有硬件按键记录器keelog.com
– StuperUser
11年8月15日在16:37
@deizel,您为什么发布该链接?它指出不使用ssl的网站是不安全的。我就是这么说的
–psusi
2011年8月15日在17:20
@psusi-键盘记录器与OP帖子有关。他指的是在咖啡厅使用咖啡厅的计算机,而不是在咖啡厅使用自己的计算机。
– Safado
11年8月15日在22:58
#16 楼
如果咖啡馆没有在路由器中使用无线加密,那么使用任何操作系统,引导棒或其他方式都不安全,请选择使用无线加密和密码连接到其热点路由器的咖啡馆。咖啡馆内或附近的任何人都可以轻松嗅探未加密的无线连接,这将显示您通过该连接发送的所有内容,包括您在浏览器中输入的登录名和密码。
评论
即使无线未加密,https仍然出于所有实际目的对通信进行加密
–丹
11年8月15日在17:09
另外,我非常确定,即使攻击者无法破坏加密,无线加密也仅在攻击者没有密码的情况下有用。如果企业为您提供了他们加密的wifi的密码,然后攻击者进来了,他们也为他们提供了密码,那么您就像没有经过加密的网络一样容易受到攻击者的攻击。
–约书亚汽车
2011年8月15日在18:42
#17 楼
密钥记录器在您的本地计算机上执行,无论您使用什么互联网连接,它都可以工作,您在网吧中遇到的问题是中间人攻击,其他网络对等方可以拦截您的网络交通。
确保在可能的地方使用HTTPS网站,所有流量在离开计算机之前都已加密,“体面”网站上的大多数登录将使用HTTPS,并且某些网站将允许您使用HTTPS浏览整个网站但请务必在输入任何内容之前检查一下,不要让其他人看到该页面确实是HTTPS,并且,如果您访问的站点具有自签名SSL证书,则请非常小心如果页面具有自签名证书,也可能是中间人攻击,我知道Firefox和IE会向您报告。
评论
在一家可能遭到黑客入侵的咖啡馆中,浏览器可能安装了伪造的CA,因此您不会收到来自虚假https网站的警告。 IMO,https在这里没用。
–bstpierre
2011-10-28 23:55
#18 楼
如果您登录的是Facebook之类的社交网站,请确保地址栏中包含facebook.com而不是facebook-home.com或类似内容,这是网络钓鱼的情况。如果您使用的是mozilla firefox,请转到工具,然后选择安全选项-在关闭帐户后,您可以从那里检查是否从内存中删除了密码。
评论
请记住,这不会阻止按键记录器执行此操作。按键记录器驻留在用户使用的计算机上-不在远程站点(即facebook-home.com)上,并且它们不一定使用浏览器的缓存。通常,它们是在较低级别实现的,例如,捕获用户按下键时发送到操作系统的事件。
–bethlakshmi
11年8月16日在20:16
#19 楼
我有一个很简单的老方法,但是很有效。获取一个pendrive并在pendrive上打开一个.txt文件。此文本文件将包含您的在线帐户密码。始终使用密码生成器工具来生成您的密码之后,只需使用复制+粘贴方法将密码复制到.txt文件中即可。在网吧中,只需插入您的Pendrive并复制+粘贴所需的密码即可。通过这种简单的方法,您的密码对于键盘记录程序仍然是安全的。
评论
许多现有的键盘记录器会拦截剪贴板,并可以记录复制粘贴的密码。
–阿迪
2013年12月16日上午10:55
#20 楼
一次性密码或两因素授权如果您不控制硬件,则发送到网站的所有信息(不仅是击键)都会受到损害。可以从您连接的任何设备(例如带有KeePass文件的USB密钥)中检索数据。
防止这种情况的唯一正确方法是,确保您在该计算机上所做的所有操作都可用于日志记录一次即可登录,但还不足以再次登录,因此下次需要其他内容。这意味着除了可重用的密码之外,还需要进行其他一些身份验证。
一种方法是一次性使用密码列表,但支持范围有限。但是,大多数敏感服务,尤其是主要的电子邮件提供商,都允许进行两步授权-除了密码,您还需要由您控制的设备生成的代码,例如,短信到您的电话号码。这是防止键盘记录程序攻击的一种合理方法,因为从当前会话中捕获所有信息将使攻击者无法再次登录,除非他们窃取了所需的设备或电话号码。
#21 楼
您的建议可能是输入密码的最佳方法。键盘记录程序通常将由人来解释,如果您的密码本身不合理(如另一位用户指出的那样),但您也可以这样做。这将使猜测密码非常困难。我也会对我的用户名做同样的事情。#22 楼
键入由按键记录器记录的所有按键。如果您使用某些软件或计算机,请记住您的密码,这些密码将不会被捕获。评论
这不是真的。键盘记录器的形状,大小,硬件和软件各不相同,并且可能在各个位置截获按键。
–Rory Alsop♦
2011-10-12 13:46
您将无法在caffe中安装任何软件,因为它可能是另一个键盘记录程序。因此,我认为您无权访问管理员帐户。
– Kenorb
15年8月6日在9:53
评论
带上随身的Linux随身碟。我认为,与其他方法完全不涉及登录密钥的密码获取方法相比,键盘记录程序术语变得非常流行。实际上,现在有一种趋势将不相关的木马和病毒称为“键盘记录程序”。请记住,获取特定密码的最简单方法不涉及记录任何密钥。
相关:superuser.com/questions/323111/…
相关:security.stackexchange.com/questions/6248/…
我只是想说,几年前,在iPad问世之前,我看到巴黎的(无知的)美国游客在网吧中使用提供的计算机访问他们的银行帐户,而这是我刻录CDROM时的网吧。后来我发现添加了一些恶意软件“文件夹”,它们实际上是带有类似于文件夹图标的.exe文件。这些游客购买笔记本电脑并通过Wifi使用笔记本电脑的安全性要高10倍。当然,这些天人们只是带着iPad一起旅行。方便多了。但我仍然可怜那些游客。我的2美分。