ウェブサイトに情報を入力する最も安全な方法は何ですか？

キーロガーがスクリーンショットをキャプチャする可能性があるため、スクリーンキーボードは解決策ではありません。これは、ランダム化されたスクリーンキーボードさえも無効にします。 （ ソース ）

つまり、キーストロークロガーをバイパスする方法があると思い込んではいけません。それらはあなたがそれらを回避しようとするあなたの試みよりも簡単に洗練されているかもしれません。

キーストロークロガーを処理する唯一の確実な方法は、最初からマシンが危険にさらされないようにすることです。 （ ソース ）

おそらく、自分自身を保護するための最良の方法の1つは、実行しているものすべてにロガーがないことを確認することです。たとえば、ライブDVD（簡単で安価）を使用できます。

現在のOSの代わりに、または現在のOS内のコンテナーで起動できるマイクロボードをキーボード内に埋め込むことにより、そのプロセスを簡略化するように見える次の「キックスターター」製品があります。

SilentKeysは、オフラインとオンラインの両方を保護するプラグアンドプレイUSBキーボードです。プライバシーを管理し、ウイルス、スヌーピング、ハッカーからコンピュータを保護します。キーロガーからキーストロークを保護します。ボタンを押すだけで匿名になります。データを暗号化し、Paypal、Facebook、銀行、およびすべてのオンラインアカウントと資格情報へのアクセスを保護します。

https://www.kickstarter.com/projects/preevio/silentkeys-a-keyboard-that-protects-your-privacy-a

私はまだそのプロジェクトに十分に精通していないので、私はそれを推薦したり、それについての詳細を説明したりすることはできません。私はそれを面白いと思っただけです（私はそのプロジェクトにまったく関係がありません）。

注：私の答えは、使用しているコンピュータを信頼できないソリューションを探しているという考えに基づいています（例：公共の場所）。自分のパソコンについて話しているなら、Linuxを使用して tripwire をインストールすることを強くお勧めします。そのソフトウェアは、OSファイルが何らかの方法で変更された場合に通知します。インメモリのキーロガーに対して100％効果的ではないかもしれませんが、それはあなたの同意なしにあなたのシステムで何が変更されているかについてより多くの知識をあなたに与えます。

アップデート（2019）

数年が経過して私の答えを読み返しましたが、私はいくつかの重要なポイントを見逃しているように感じます。

ソフトウェアと ハードウェア キーロガーがあります。ソフトウェアキーロガーは任意のデバイス（公共のコンピューターだけでなく）にリモートで展開できるため、デバイスを最新の状態に保ち、ダウンロードチェックサムを検証し、わからないものをインストールしないことが最善の保護です（100％安全ではありません）。自分が所有していない、または信頼できないデバイスの使用やネットワークへの接続は避けてください。

お使いのデバイスに 感染したBIOS があり、マルウェアが入力したすべてを「見る」ことができると想定している場合、この回答で提案されている方法で安全を確保することはできません。

現在、ハードウェアのキーロガーについては、それらを展開するのはより困難です。キーボードが改ざんされている場合、「DVD」方式でも保護されません。ハードウェアをより深く掘り下げると、情報を盗む可能性のある malicious chip を使用する可能性について話すことができます。

結論：ハッカーは年を重ねるほど創造性が増すため、ハッキングされてパスワードが盗まれる可能性を常に想定していることが最善です。バックアップ計画を立て、すべてをクラウドに保管しないでください。

私の知識は古くなっていますが、数年前、米国の代理店で働いていました。その代理店の管理下にないPCを使用してエンドユーザーのセキュリティを最大化する方法を理解したいと考えていました。自宅、雇用主、または公共図書館からログをとる一部のエンドユーザー向け。

当時最も人気があったのはZeusで、Zeusにはキーロガーがありましたが、実際にはキーロギングは非常に面倒です。なぜなら、キーストロークの大部分は興味をそそられないためです。攻撃者はクレジットカード/パスワード/ SSNを盗み、IMを読まないことを望んでいます。このプロセスを数万の感染したノードに掛けると、攻撃者がキーロガーの導入に熱心でない理由がわかります。

Zeusは、IEプロセスメモリに感染し、フォーム送信にフックできるため、サイトがTLSを使用している場合でも、HTMLフォームから直接値を読み取ることができます。実際には、 only TLS経由で送信されたフォームをキャプチャするように構成されているため、ユーザーが入力したすべてのキーログを記録する場合と比較すると、貴重なデータがはるかに集中しています。

結果は？私が働いていた機関は、いくつかの異なる仮想キーボードと仮想ピンパッドをさまざまなプロパティに配備していて、それらすべてがZeusのフォームロガーによって簡単に打ち負かされていました。上記で述べたように、私の知識は古いものです。犯罪キットは今ではさらに効果的だと思います。

キーロガーがインストールされている場合、あなたは失われます。この場合は、コンピューターを監視できる他のソフトウェアツールがインストールされていることを確認できます。

ただし、Yubikeyまたは同様のデバイスを使用して、一部のログインを保護できます。一意のワンタイムパスワードを生成できます。これは、WebサイトまたはプログラムがYubikeyで動作する場合にのみ機能します。

Yubikeyは2つのパスワードまたはパスワードメソッドを保存できます。必要なものを選択できます。 2番目のパスワードには、静的な文字列を格納できます。これは、長くて入力や推測が困難です。これを使用して、次のように任意のパスワードに追加できます。

}v@+z5JLWf0'=y,6z?"~4FQ-Z]q7@Op<=yDr_^Xn

次に、Webサイトへのログインごとに、覚えやすい簡単な一意の短いパスワードを使用し、次にこの長い文字列を使用します。ユビキーはキーボードのように機能し、文字列を入力します。しかし、これはキーロガーから保護しますか？私はそうは思いません。

さらに、一部のサイトでは特定の文字が許可されていない、または10または20文字しか許可されていないなどの理由で、これは常にうまく機能しません。Lastpassを使用することをお勧めします。これは同じことを行いますが、そのWebサイトに適した一意のパスワードを使用します。 YubikeyでLastpassアカウントを保護できます！どちらもさまざまな目的に役立つツールです。

オンスクリーンキーボードでマウスを操作しますか？マウスクリックの座標をキャプチャできるキーロガーがあります。しかし、スクリーンショットをキャプチャするだけのキーロガーもいます。そのため、その方法は本当に完全なものではありません。それはスクリーンキャプチャと呼ばれています。

コピーして貼り付けますか？いいえ。一部の（私見で洗練された）マルウェアは、メモリからコピーしたものを抽出することさえできます。それに加えて、いくつかの単純なキーロガーでさえフォームロギングを実行する機能を備えています。これにより、入力ボックスに入力または貼り付けられるすべてのものがキャプチャされます。そこに到達した方法に関係なく（スクリーンキーボードで、入力するだけで、または貼り付けることで）、それはキャプチャされます。

ランダムな文字列を入力して文字を削除しますか？キーロガーは、バックスペース、矢印キーなどもキャプチャします。また、フォームログについても説明します。

次にどうしたらいいですか？さて、まず、感染しないようにしてください。とにかく、サンドボックスシステムの一種を使用する特別なセキュリティブラウザーがあります。アバストのSafeZoneがその例です。これは特別な種類のブラウザで、キーストロークを直接そのブラウザに送信することで保護します。そして、それはサンドボックスであるため、フォームロガーなどの他のマルウェアはそこから情報を抽出するのが困難になります。 SafeZoneには、画面キャプチャに対する保護機能もあります。ただし、SafeZoneでもハードウェアキーロガーから常に保護できるとは限りません。

ある種の公共の場所にいる場合。 LinuxライブOSでUSBスティックを使用できます。セキュリティのために作られたLiveOS。 Tails または QubesOS がこれに適しています。 QubesOSは、洗練されたサンドボックス/ VMメカニズムでも動作します。ただし、これもハードウェアのキーロギングから保護されません。

つまり、SafeZoneのようなsecurity-/sandbox-browsersは、あなたが望むものに閉じ込められているようです。ブラウザでパスワード/情報を入力する比較的安全な方法。

コンピュータにキーロガーが搭載されている可能性が非常に高いため、それをだますためにゲームをプレイする必要性を感じていると思われる場合は、そのコンピュータにパスワードを入力しないでください。これはおそらくルーズになるゲームなので、プレイしない方がよいでしょう。

そうは言っても、私が何らかの緊急事態にあり、公共のコンピューターで私のメールをチェックする以外に選択肢がない場合、キーボードとマウスで入力を混合して、あなたの最後の提案に沿って何かをします。また、オプションの場合は、2要素認証を使用します。

その後、安全なコンピュータに着いたら念のためにパスワードを変更します。コンピューターが感染した場合、私のパスワードはとにかく盗まれる可能性が高いからです。

マルウェアを開発した場合、キーストロークのログを記録する必要はありません。代わりに、ブラウザーにフックして、送信される前にすべてのフォームのコンテンツを読み取るだけでした。そうすれば、ユーザー名、パスワード、サイトを一度に簡単に取得できます。派手なタイピングはそれを助けにはなりません...