シナリオ:
私たちは、プレーンテキストのパスワードと3つの画像(ユーザーが登録時に選択した画像のコレクションから、画像はサイトによって提供されます)を必要とするWebアプリケーションのログインシステムを持っています。
キーロガーはキーストロークだけをキャッチし、選択したユーザーの画像はキャッチしませんよね?
キーロガーを倒すにはこれで十分ですか?
いいえ。キーロガーは、多くの場合、画面キャプチャとマウス座標ログも実行できます。そのため、攻撃者はユーザーが選択した画像を引き続き表示できます。
ユーザーが2つのデバイス(ラップトップと電話など)を必要とする別の種類の2要素認証は、より安全です。もう1つの優れた代替手段は、ユビキーです。毎回疑似ランダムパスワードを生成するデバイスの一種。そうすれば、ハッカー/キーロガーは次のパスワードを推測できません。
システムがマルウェアに感染すると、侵害されます。そのシステムで行われたことはすべて監視できるため、そのシステムを使用するだけで誰かがそのシステムから安全にログインすることを許可する方法はありません。限目。物語の終わり。
ログインプロセスの一部としてユーザーが実行する必要のあることについて、マルウェアが偶然に記録しない奇妙なスキームを思い付く場合がありますが、どの程度複雑にしても、プロセスを保護するために何をしようとしてもシステムそれは最終的にはすべてのあいまいさによるセキュリティです。マルウェアがあなたのしていることを理解しておらず、それを回避するために必要な情報を収集する方法を見つけたことを望んでいます。
安全を維持する唯一の方法は、侵害されていない別の方法、別名2要素認証(TFA)を使用することです。キーフォブからのコード。テキストメッセージ/自動電話で送信されるコード。
はい、それは強いですer...少し。それはあまり言っていません。
技術的になりたい場合は、キーロガーがキーを記録します。現実の世界では、多くの「キーロガー」もキー以外のものをログに記録します。これらの答えを見てください:
キーボードストロークのみを記録する悪意のあるソフトウェアが存在することはほとんどありません。グラフィカルインターフェイス(Windowsなど)のほとんどの主要なロガーはより洗練されており、オペレーティングシステムにフックすることにより、マウス、コピー、貼り付けイベントを含むすべてのユーザー操作を記録します。
キーロガーは通常、ルートキットの小さなサブセットであり、中間者(MITM)として機能し、キーストロークをログに記録せずに資格情報またはセッション情報を取得する機能も含まれている場合があります。
キーロガーを無効にする最善の方法は、それらを持たないことです。
嫌です。
そうは言っても、あなたが話している緩和策は、パスワードをまとめて収集しているブラックハットを阻止する小さな能力を持っているかもしれません。発見のためのパブリッシュと支払いの収集が難しいためです(かなり簡単です)ユーザー名とパスワードのCSVファイルを顧客に提供するには、被害者の画像とマウスクリックを含めるのが少し面倒です)。これは、正直に言うと、トラブルに行く理由の多くではありません。個別にターゲットにされている場合、あなたが話しているスキームはほとんど保護を提供しません。
画像はまだ認証の役割を持っています-パーソナライズされた画像を提供することにより、ユーザーがフィッシング攻撃を特定するのを助けるためにそれらを使用できます-しかし、キーロガーを倒すという観点からは、本当に [〜#〜] otp [ 〜#〜] 、つまりキーフォブまたは帯域外。 OTPでさえリアルタイム攻撃から保護するつもりはありませんが、パスワード収集から保護するためのかなり良い方法です。