web-dev-qa-db-ja.com

インターネットカフェのキーロガーによってパスワードが取得されるのを防ぐにはどうすればよいですか?

旅行中、特に貧しい国では、インターネットカフェでインターネットを使用する必要がある場合があり、キーストロークを聞くために何かがインストールされているかどうか本当にわかりません。

私はこの方法を聞いたことがありますが、うまくいくかどうかはわかりませんが、インターネットカフェにいる場合、キーロガーをだますための1つの方法は、一度にパスワードを入力しないことです。代わりにパスワードの一部を入力し、ランダムな文字をいくつか挿入してから、マウスを使用してランダムな文字を強調表示し、それらを上書きします。これはおそらく、キーロガーをだまして、パスワードにランダムな文字が含まれていると考えさせます。

ただ疑問に思って、これは実際に機能しますか?私が使用できる他のより良い方法はありますか?

70
stickman

メディアを信頼しない場合:機密情報を入力しないでください。あいまいな方法でパスワードを入力すると、次のようになります。 obscurityによるセキュリティ

それ以外の場合:入力したパスワードが次回のログインで変更された場合、そのようなオープンな場所である程度のセキュリティを実現できる可能性があります。 one-time-passwords を参照してください。 (注: '2-factor-authentificationは、パスワードの半分(一定/静的を維持)がわかっているハイブリッドスキームであり、SMSまたはその他の方法で残りの半分を取得します;後半は1つです-時間-パスワード)

49
akira

キーストロークがキャプチャされていないことを確認できない場合(およびキャプチャできない場合)は、あらゆる2要素認証を使用してください。

パスワードだけでは役に立たないことを確認してください!

データが安全であることを確認する唯一の方法は、疑わしいマシンに「すべて」を入力しないようにすることです。


キーロガーが唯一の懸念事項であることを前提とします(つまり、高度な追跡ソフトウェアはありません):

たとえば、 KeePass コンテナにすべての重要なパスワードを含むUSBドライブを、KeePass Portableと一緒に持ち運ぶことができます。 KeePass Portableを開いたら、KeePassコンテナーのマスターパスワードを使用します。はい、キャプチャされるリスクがありますが、コンテナのロックを解除するために、キーファイルを使用するようにKeePassを構成することもできます。このキーファイルがないと、マスターパスワードは役に立ちません。このキーファイルは、同じサムドライブ、または元のサムドライブとは別に持ち運ぶ別のサムドライブに保存できます。

KeePassコンテナを開くと、キー入力しないでパスワードを入力できる パスワードを入力できるKeePass機能を利用できます

  • KeePassはそれ自体を最小化し、現在選択されているエントリの情報をダイアログ、Webフォームなどに入力できます。もちろん、入力シーケンスは100%ユーザーがカスタマイズできます。詳細については、ドキュメントファイルを参照してください。
  • KeePassは、グローバルな自動タイプのホットキーを備えています。 (データベースを開いた状態で)バックグラウンドでKeePassを実行しているときにホットキーを押すと、正しいエントリが検索され、自動入力シーケンスが実行されます。

ただし、これはキーボードバッファをリッスンするキーロガーをだますことはありません。キーボード接続に組み込まれたキーロガーは役に立たないでしょう。

より良い代替案:

  • すべてのフィールド、タイトル、ユーザー名、パスワード、URL、メモを他のウィンドウにドラッグ&ドロップできます。

これにより、マスターパスワード以外のanyパスワードを入力する必要がなくなります。マスターパスワードはいつでも「破棄」して、必要に応じて変更できます。

22
slhck

私は2つの方法を見ることができます:

  1. 仮想キーボードソリューション を使用します。マウスクリックでパスワードを入力できます。キーボードロガーは回避されます(ただし、マウスクリックベースのロガーは回避されない場合があります)。ただし、1つのレベルのセキュリティになります。

  2. パスワードボックスに間違ったパスワードを入力し、それをマウスで選択します(間違ったキーをtrueに置き換えます)。真のパスワードの最初の3文字を入力し、3つの間違ったキーを入力し、最後の3つの無効な文字を選択してから、無効なキーを置き換える3つの正しいキーを入力します。

18
Diogo

あなたが扱っているいくつかの脅威があります。ただし、基本的に、潜在的に悪意のあるハードウェアを使用して-あなたが求めていることは安全ではないため、デリケートな目的には使用しないでください。 (たとえば、休暇中に銀行口座にチェックインしないようにしてください)。ただし、そのリスクを取りたいがリスクを最小限に抑えたい場合は、次のような脅威があります。

  1. ハードウェアキーロガー。 30ドル未満で購入したキーボードの背面にある簡単なアタッチメントで、すべてのキー操作を保存できます。そのため、誰かがサイトにアクセスし、ログインを入力してからパスワードを入力すると、後で簡単に解読される可能性があります。市販のキーボードを変更してこれを内部で自動的に実行することは難しくありません。あなたは後ろに添付ファイルが表示されないので、あなたが安全だと信じていません。

  2. ソフトウェアキーロガー。 OSは、キーロガー/マウスロガー/画面キャプチャルーチンを実行している可能性があり、これは原則として、実行するすべてのアクションを再生できます。

  3. スプーフィングされたDNS /ブラウザにMITMの偽の証明書がインストールされて破損している場合(SSLサイトに対しても)。

  4. Htmlフォームフィールドに入力されたすべてのテキスト(パスワードを含む)を記録するブラウザ拡張機能/ハック。

  5. パスワード/認証Cookieがプレーンテキストで送信される、暗号化されていないネットワークトラフィックを監視している人-SSLを使用していることを確認してください(適切な証明書を使用してMITMを防止します)。

これらのうち#5が最も簡単に防止できます。暗号化されていないサイトにはssh/vpnトンネルを使用するか、適切な証明書で署名されたサイトにはHTTPS(SSLあり)を使用します。

あなたの最良の選択肢は再びあなた自身のハードウェアを使用することです(スマートフォンを持参してください;あなたと一緒に安いネットブック/タブレット)-それは脅威を排除します#1-#4;そして標準的な優良慣行が#5を防ぎます。

2番目の最良のオプションは、独自のライブCDから選択したゲストOSを起動し、独自の方法を使用してパスワードをキーロガーに隠蔽することです。それは多分半分の文字を入力することです(必ずしも順不同です;そしてウェブページ/ URLの文字から残りの半分を切り取って貼り付けてください-できればこれはマウスを使ってのみ実行してください-たとえば、gnomeであなたができる文字を選択した場合中マウスクリックで貼り付けます)。ライブCDを使用して、#2&#3&#4を防止します。あなたはまだ#1に対して脆弱ですが、通常のキーロガーに対してパスワードを適切に覆い隠すことができます。彼らは部分的なパスワードを回復しているかもしれませんが、すべてを持っているわけではありません(私はまた、パスワード全体を切り取ることはしません)モニターに表示されているビデオを録画/複製している場合は貼り付けます)。家に帰ったらパスワードを変更することをお勧めします。

ゲストOSを起動できないようにする場合、入力されたデータはすべて侵害されたと考えます。あなたはそれをもう少し難しくするために何かをすることができます(例えば、新しいウェブブラウザをダウンロードして実行する;順序が間違っている/パスワードを入力して部品を貼り付けてパスワードを覆い隠すなど;)原則として彼らはデータを得ることができます彼らが望めば。

16
dr jimbob

可能ですが、あまり実用的ではないかもしれません。

自分のPCを持ち、Linuxで起動して、サイバーカフェのネット接続を使用する

多くの人がこれを行うことを許可しませんが、一部は許可します

6
Akash

LinuxライブUSBから起動できます。キーロガーがハードウェアベースでない限り、これは安全です。空軍には、まさにこの目的のために設計されたディストロがあります。ローカルハードドライブをマウントしないため、ローカルに保存することはできません。ディストリビューションはLPS(軽量ポータブルセキュリティ)と呼ばれます。毎日使っています。あなたはそれをダウンロードすることができます ここ

5
Kevin

ワンタイムパスワードを使用します。一部のサイトでは画面上の仮想キーボード(クリックするたびに場所が変わる)を提供していますが、キーロガーが存在する場合は、スパイウェアが存在している可能性が高くなります。

そのため、パスワードやSSNなどの機密情報を保存するサムドライブの使用は選択しません。

3
Sairam

すでに述べたことに加えて、ブート可能な TAILS OS (The Amnesic Incognito Live Systemの略)を含む小さなUSBスティックを持ち歩くことを検討するかもしれません。ローカルハードウェアで行われたすべてが再起動後に消去されるため、ローカルハードウェアには何も保存しないでください。

Torを使用しているという事実をローカルネットワークのadmin/ISP/governmentから知らないままにしたい場合は、 ブリッジモードを使用するようにTor/Tailsを構成する

ただし、Torがすべての問題に対する特効薬となるわけではないため、機密情報を含むソフトウェアを信頼する前に、適切なドキュメントを読む必要があります。

さらに、Torのアーキテクチャーにより、ユーザー名/パスワード情報は難読化ネットワークの3番目のホップ(出口ノードと呼ばれる)で監視できるため、これを防ぐためにHTTPSを使用する必要があります。[*] EFFのHTTPS Everywhere拡張を試してください簡単にします。

[*]例:ワイヤードドットcom/politics/security/news/2007/09/embassy_hacks?currentPage = all

2
Deniz

自分のデバイスを持参し、暗号化された接続を使用します。

2
steampowered

私が通常行うことは、ubuntuをUSBフラッシュにライブでロードし、カフェの所有者が見えない隅にあるコンピューターを選び、USBフラッシュを挿入してubuntuで再起動することです。私が得るのは安全な環境です。

2
Dani

ここにいくつかの良い提案があります。

彼らに、次の機会に信頼できるインターネット接続を使用してパスワードを変更することを提案します。誰かがあなたのパスワードを取得できたとしても、それが使用される前にパスワードを変更する可能性があります。これは、ハードウェアキーロガーを使用していて、後で戻って取得する必要がある場合に特に当てはまります。

家から遠く離れた空港にいると、接続していたwi-fiネットワークが正当ではない可能性があることに気付きました。ネットワークに接続しているときにGmailにログインしていたので、念のため、家族のメンバーに携帯電話で電話をかけ、GMailのパスワードを教えて、別のパスワードに変更してもらいました。彼らは選択した新しいパスワードを(電話でそれを私に伝えることなく)書き留め、私は家に帰ったときに彼らからそれを入手しました。

2
Joshua Carmody

Openidと yubikey のようなものを使用すると、パスワードを取得してもワンタイムパスワードが使用され、再利用できません。

問題はUSBポートアクセスです

yubikeyはUSBキーボードとして表示されるため、管理者レベルのドライバーは必要ありません

2
Crash893

多くの銀行がこれを行っています。それらのパスワードフィールドは、ページ上にランダムに配置されたオンスクリーンキーボードで入力することによってのみ入力できます。したがって、キーはクリックされず、マウスクリックのみがクリックされます。さらに、パスワードが8文字の場合、特定の文字を入力するように求められるだけなので、X00XXX0スクリーンキーボードでは、0で表されるパスワード文字のみを入力する必要があります。

画面のキーボードにランダムに配置された文字と、マウスでクリックしてランダムに選択された文字を組み合わせて入力すると、無駄に記録されたマウスクリックの位置がレンダリングされます。

よろしく、

2
Ali

すべてのメールを一時的なアカウントに転送し、戻ってきたら削除することができます。これにより、留守中に送信された電子メールの傍受、および一時的なアカウントのハイジャックの可能性が制限されます。

実際のアカウントからの転送をオフにすることができるので、一時的なアカウントが危険にさらされていることに気付いたらすぐに無効にすることができます。

これは完璧なソリューションではありませんが、攻撃者がパスワードを盗んだ場合でも、ある程度の保護を提供します。

2
Zach

使い捨てパスワードまたは2要素認証

ハードウェアを制御しないと、Webに送信するすべての情報(キーストロークだけでなく)が危険にさらされる可能性があります。接続したデバイス(KeePassファイルを含むUSBキーなど)のデータを取得できます。

これに対して保護する唯一の適切な方法は、そのコンピュータで行ったすべての操作がログインに役立つことを確認することですonceしかし、ログインするには十分ではありませんagain、次の時間は別の何かを必要とするでしょう。これは、再利用可能なパスワード以外の認証を意味します。

これを行う1つの方法は、使い捨てパスワードのリストですが、サポートが制限されています。ただし、最も機密性の高いサービス、特に主要な電子メールプロバイダーでは、2要素の認証が可能です。パスワードに加えて、制御するデバイスによって生成されたコード、またはSMS現在のセッションからすべての情報をキャプチャすると、攻撃者が必要なデバイスまたは電話番号を盗まない限り、2回目のログインは許可されないため、これはキーロガーから保護するための合理的な方法です。

0
Peteris

あなたは2つの無関係な問題を融合させています。キーロガーは、コンピューターにインストールされているプログラムで、実際のキーストロークを監視します。それはカフェや他の公共ネットワークとは何の関係もありません。もしあなたのマシンがハッキングされたなら、あなたはもっと大きな心配事がありますが、あなたが言及する方法は単純なキーロガーを混乱させるかもしれません。

パブリックwifiネットワークで心配する必要があるのは、ネットワークパケットをスニッフィングして送信しているものを確認している他のマシンです。接続が暗号化されるようにSSLが有効になっている安全なWebサイトのみを使用することで、これを防ぐことができます。

0
psusi

カフェがルーターでワイヤレス暗号化を使用していない場合、OS、ブートスティックなどを使用しても安全ではありません。ワイヤレス暗号化とパスワードを使用してホットスポットルーターに接続するカフェを選択してください。

暗号化されていないワイヤレス接続は、カフェ内またはカフェの近くの誰でも簡単に盗聴できます。これにより、ブラウザに入力したログインやパスワードを含め、接続を介して送信するすべてのものが明らかになります。

0
Moab

キーロガーはローカルマシンで実行され、使用しているインターネット接続に関係なく機能します。

インターネットカフェで発生している問題は、他のネットワークピアがネットワークトラフィックを傍受できる中間者攻撃です。

必ず[〜#〜] https [〜#〜]可能なサイトを使用してください。すべてのトラフィックはマシンを離れる前に暗号化されます。「まともな」サイトでのほとんどのログインはHTTPSと一部のサイトを使用しますHTTPSでサイト全体を閲覧できますが、何かを入力する前に、ページが実際にHTTPSであることを他の人に見られたくないことを常に確認してください。また、自己署名SSL証明書があるサイトにアクセスした場合次に、Firefoxを知っている中間者攻撃である可能性があるため、非常に注意してください。ページに自己署名証明書がある場合は、IEが報告します。

0
squareborg

Facebookなどのソーシャルネットワーキングサイトにサインインしている場合は、アドレスバーにfacebook-home.comなどではなくfacebook.comが含まれていることを確認してください。これはフィッシングの場合です。 mozilla firefoxを使用している場合は、ツールからセキュリティオプションに移動します。そこから、アカウントを閉鎖した後にパスワードがメモリから削除されたかどうかを確認できます。

0

私は非常にシンプルですが効果的な古い方法を持っています。ペンドライブを取得し、ペンドライブで.txtファイルを開きます。このテキストファイルには、オンラインアカウントのパスワードが含まれます。常にパスワード生成ツールを使用してパスワードを生成してください。その後、copy + pasteメソッドで.txtファイルにパスワードをコピーしてくださいインターネットカフェでは、ペンドライブを接続し、必要なパスワードをコピーして貼り付けるだけです。この簡単な方法で、パスワードはキーロガーから安全に保たれます。

0
kefe