it-swarm-eu.dev

Wie kann ich verhindern, dass mein Passwort von Key Loggern aus Internetcafés abgerufen wird?

Während des Reisens, insbesondere in armen Ländern, müssen Sie manchmal das Internet in einem Internetcafé nutzen, und Sie können wirklich nicht sicher sein, ob jemand etwas installiert hat, um Ihre Tastenanschläge zu hören.

Mir wurde diese Methode gesagt, obwohl ich nicht sicher bin, ob dies funktioniert, aber wenn Sie in einem Internetcafé sind, besteht eine Möglichkeit, wichtige Logger zu täuschen, darin, die Eingabe Ihres Passworts auf einmal zu vermeiden. Geben Sie stattdessen einen Teil Ihres Passworts ein, fügen Sie einige zufällige Buchstaben ein, markieren Sie die zufälligen Buchstaben mit der Maus und überschreiben Sie sie dann. Dies täuscht angeblich die Key Logger vor, dass Ihr Passwort diese zufälligen Buchstaben enthält.

Ich frage mich nur, ob das tatsächlich funktioniert. Gibt es andere bessere Methoden, die ich verwenden könnte?

70
stickman

wenn Sie dem Medium nicht vertrauen: Geben Sie keine vertraulichen Informationen ein. Wenn Sie Ihr Passwort auf eine dunkle Art und Weise eingeben, ist dies nur Folgendes: Sicherheit durch Dunkelheit , was niemals funktioniert.

anders als das: Sie können möglicherweise an solchen offenen Stellen ein gewisses Maß an Sicherheit erreichen, wenn sich das von Ihnen eingegebene Passwort für die nächste Anmeldung ändert, siehe Einmalpasswörter . (Hinweis: '2-Faktor-Authentifizierung ist ein hybrides Schema, bei dem Sie bereits eine Hälfte des Passworts kennen (das konstant/statisch bleibt) und dann die andere Hälfte per SMS oder auf andere Weise erhalten; die zweite Hälfte ist eine Eins- Zeit-Passwort)

49
akira

Wenn Sie nicht sicher sein können, dass Ihre Tastenanschläge nicht erfasst werden (und Sie können nicht), verwenden Sie eine Zwei-Faktor-Authentifizierung.

Stellen Sie sicher, dass Ihr Passwort für sich genommen nicht nützlich ist!

Die einzige Möglichkeit, um sicherzustellen, dass Ihre Daten sicher sind, besteht darin, zu vermeiden, dass "alles" in den verdächtigen Computer eingegeben wird.


Angesichts der Tatsache, dass Keylogger Ihr einziges Anliegen sind (d. H. Keine ausgefeilte Tracking-Software) :

Sie können beispielsweise ein USB-Laufwerk mit allen wichtigen Kennwörtern zusammen mit KeePass Portable in einem KeePass -Container aufbewahren. Verwenden Sie nach dem Öffnen von KeePass Portable ein Hauptkennwort für den KeePass-Container. Ja, Sie riskieren, dass es erfasst wird. Um den Container zu entsperren, können Sie KeePass auch so konfigurieren, dass auch eine Schlüsseldatei verwendet wird. Ohne diese Schlüsseldatei ist das Hauptkennwort unbrauchbar. Diese Schlüsseldatei kann auf demselben oder einem anderen USB-Stick gespeichert sein, den Sie getrennt vom ursprünglichen USB-Stick mit sich führen.

Sobald Sie Ihren KeePass-Container geöffnet haben, können Sie KeePass-Funktionen verwenden, mit denen Sie Kennwörter ohne Eingabe eingeben :

  • KeePass kann sich selbst minimieren und die Informationen des aktuell ausgewählten Eintrags in Dialoge, Webformulare usw. eingeben. Natürlich ist die Schreibsequenz zu 100% vom Benutzer anpassbar. Weitere Informationen finden Sie in der Dokumentationsdatei.
  • KeePass verfügt über einen globalen Hotkey für die automatische Eingabe. Wenn KeePass im Hintergrund ausgeführt wird (mit geöffneter Datenbank) und Sie den Hotkey drücken, sucht es nach dem richtigen Eintrag und führt seine automatische Typsequenz aus.

Dies täuscht jedoch keinen Keylogger, der auf den Tastaturpuffer wartet. Ein in die Tastaturverbindung eingebauter Keylogger wäre jedoch nutzlos.

Eine bessere Alternative:

  • Alle Felder, Titel, Benutzernamen, Kennwörter, URLs und Notizen können per Drag & Drop in andere Fenster verschoben werden.

Auf diese Weise müssen Sie kein beliebiges Passwort eingeben, mit Ausnahme Ihres Hauptkennworts, das Sie jederzeit "wegwerfen" und bei Bedarf ändern können.

22
slhck

Ich kann zwei Wege sehen:

  1. Verwenden Sie einige virtuelle Tastaturlösung . Sie können Ihr Passwort mit Mausklicks eingeben. Dadurch wird der Tastatur-Logger vermieden (möglicherweise jedoch nicht der Mausklick-basierte Logger). Dies wäre jedoch eine Sicherheitsstufe.

  2. Sie geben einfach ein falsches Passwort in das Passwortfeld ein und wählen es mit der Maus aus (indem Sie die falschen Tasten durch die wahren ersetzen). Geben Sie die ersten 3 Zeichen des wahren Passworts ein, geben Sie 3 falsche Schlüssel ein, wählen Sie die letzten 3 ungültigen Zeichen aus und geben Sie dann die 3 richtigen Schlüssel ein, die die ungültigen Schlüssel ersetzen.

18
Diogo

Es gibt verschiedene Bedrohungen, mit denen Sie es zu tun haben. Grundsätzlich ist das, was Sie fragen - die Verwendung potenziell bösartiger Hardware - unsicher und sollte aus sensiblen Gründen vermieden werden. (Versuchen Sie beispielsweise, im Urlaub nicht auf Ihr Bankkonto einzuchecken). Wenn Sie jedoch bereit sind, dieses Risiko einzugehen, es aber minimieren möchten, sind hier Ihre Bedrohungen:

  1. Hardware-Keylogger. Ein einfacher Aufsatz auf der Rückseite der Tastatur, der für weniger als 30 US-Dollar gekauft wurde, kann jeden Tastendruck speichern. Sie würden also jemanden sehen, der zu einer Site geht, ein Login und dann ein Passwort eingibt und es später leicht entschlüsseln kann. Es wäre nicht schwierig, eine Standardtastatur so zu ändern, dass dies intern automatisch erfolgt. Glauben Sie also nicht, dass Sie in Sicherheit sind, da Sie hinten keinen Anhang sehen.

  2. Software-Keylogger. Das Betriebssystem führt möglicherweise eine Keylogger-/Maus-Logger-/Bildschirmaufnahme-Routine aus, die im Prinzip jede von Ihnen ausgeführte Aktion wiedergeben kann.

  3. Ein gefälschter DNS/beschädigt mit gefälschten Zertifikaten, die im Browser für ein MITM installiert sind, sogar für SSL-Sites.

  4. Eine Browsererweiterung/ein Hack, der den gesamten in das HTML-Formularfeld eingegebenen Text (einschließlich Kennwörter) aufzeichnet.

  5. Jemand, der unverschlüsselten Netzwerkverkehr überwacht, bei dem Ihre Kennwort-/Authentifizierungscookies im Klartext gesendet werden - stellen Sie sicher, dass Sie SSL verwenden (mit geeigneten Zertifikaten, um MITM zu verhindern).

Von diesen ist # 5 am einfachsten zu verhindern; Verwenden Sie einen SSH/VPN-Tunnel für unverschlüsselte Sites oder verwenden Sie HTTPS (mit SSL) für Sites, die mit einem geeigneten Zertifikat signiert sind.

Ihre beste Option ist wieder die Verwendung Ihrer eigenen Hardware (bringen Sie ein Smartphone mit; billiges Netbook/Tablet) - das beseitigt die Bedrohungen Nr. 1 bis Nr. 4; und bewährte Standardpraktiken verhindern # 5.

Ihre zweitbeste Option wäre, ein Gastbetriebssystem Ihrer Wahl von Ihrer eigenen Live-CD zu starten und dann eine Methode wie Ihre eigene zu verwenden, um Ihr Passwort für einen Keylogger zu verschleiern. Das heißt, geben Sie vielleicht die Hälfte der Zeichen ein (nicht unbedingt in der richtigen Reihenfolge; und schneiden Sie die andere Hälfte aus Buchstaben auf der Webseite/URL aus und fügen Sie sie ein - vorzugsweise nur mit der Maus - z. B. im Gnom, wenn Sie ein Zeichen auswählen, das Sie können Fügen Sie es mit einem mittleren Mausklick ein. Verhindert die Verwendung einer Live-CD # 2 & # 3 & # 4. Sie sind immer noch anfällig für Nummer 1, aber Sie können Ihr Passwort wahrscheinlich einem normalen Keylogger angemessen verdecken, dass er zwar ein Teilpasswort wiederhergestellt hat, aber nicht das ganze Ding hat (ich würde auch nicht das gesamte Passwort von cut machen und einfügen, falls das auf dem Monitor angezeigte Video aufgezeichnet/geklont wird). Ich würde immer noch empfehlen, Ihr Passwort zu ändern, sobald Sie wieder zu Hause sind.

Wenn Sie nicht in der Lage sind, ein Gastbetriebssystem zu starten; Ich würde alle eingegebenen Daten als kompromittiert betrachten. Sie könnten etwas tun, um es etwas schwieriger zu machen (z. B. einen neuen Webbrowser herunterladen und ausführen; versuchen Sie, Ihr Passwort zu verschleiern, indem Sie es nicht in der richtigen Reihenfolge eingeben/ausschneiden und Teile einfügen usw.), aber im Prinzip könnten sie die Daten erhalten wenn sie wollten.

16
dr jimbob

Mögliche, wenn auch nicht sehr praktische Lösung.

Nehmen Sie Ihren eigenen PC, starten Sie unter Linux und nutzen Sie die Netzverbindung des Cybercafés

Nicht viele würden es Ihnen erlauben, aber einige tun es

6
Akash

Sie könnten von einem Linux Live USB booten. Sofern der Key-Logger nicht hardwarebasiert ist, ist dies sicher. Die Luftwaffe hat eine Distribution, die genau für diesen Zweck entwickelt wurde. Die lokalen Festplatten werden nicht gemountet, sodass lokal nichts gespeichert werden kann. Die Distribution heißt LPS (Lighweight Portable Security). Ich benutze es täglich. Sie können es herunterladen hier

5
Kevin

Ich würde mit Einmalpasswörtern gehen. Einige Websites bieten virtuelle Bildschirmtastaturen (die den Speicherort bei jedem Klick ändern). Wenn jedoch Schlüsselprotokollierer vorhanden sind, besteht eine hohe Wahrscheinlichkeit, dass Spyware vorhanden ist.

Daher würde ich kein USB-Stick verwenden, auf dem vertrauliche Informationen wie Kennwörter und SSN gespeichert sind.

3
Sairam

Zusätzlich zu dem, was bereits gesagt wurde, können Sie einen kleinen USB-Stick mit sich führen, der das bootfähige TAILS OS (kurz für The Amnesic Incognito Live System) enthält, das standardmäßig Ihren gesamten Internetverkehr über Tor leitet und dies nicht tut Speichern Sie nichts auf der lokalen Hardware, da alles, was darauf ausgeführt wird, nach einem Neustart gelöscht wird.

Wenn Sie es vorziehen, dass Sie Tor verwenden, bleibt dies dem lokalen Netzwerkadministrator/ISP/der Regierung unbekannt. Sie sollten Tor/Tails für die Verwendung des Bridge-Modus konfigurieren

Beachten Sie jedoch, dass Tor nicht für alles eine Patentlösung ist und Sie die entsprechende Dokumentation lesen sollten, bevor Sie einer Software mit vertraulichen Informationen vertrauen.

Aufgrund der Architektur von Tor können Benutzernamen-/Kennwortinformationen vom dritten Hop in seinem Verschleierungsnetzwerk (in einem sogenannten Exit-Knoten) beobachtet werden. Sie sollten daher HTTPS verwenden, um dies zu verhindern. [*] Versuchen Sie die HTTPS Everywhere-Erweiterung des EFF auf mach es einfacher.

[*] Ein Beispiel: Wired Dot Com/Politik/Sicherheit/Nachrichten/2007/09/embassy_hacks? CurrentPage = all

2
Deniz

Bringen Sie Ihr eigenes Gerät mit und verwenden Sie eine verschlüsselte Verbindung.

2
steampowered

Normalerweise lade ich Ubuntu live auf einen USB-Flash, wähle einen Computer in der Ecke aus, den der Caffe-Besitzer nicht sehen kann, stecke den USB-Flash ein und starte Ubuntu neu. Was ich bekomme, ist eine sichere Umgebung.

2
Dani

Hier gibt es einige gute Vorschläge.

Zu ihnen würde ich den Vorschlag hinzufügen, dass Sie Ihr Passwort bei der nächsten Gelegenheit über eine vertrauenswürdige Internetverbindung ändern. Selbst wenn es jemandem gelingt, Ihr Passwort zu erhalten, können Sie es möglicherweise ändern, bevor es verwendet werden kann. Dies gilt insbesondere dann, wenn sie einen Hardware-Keylogger verwenden, den sie zu einem späteren Zeitpunkt abrufen müssen.

Als ich auf einem Flughafen weit weg von zu Hause war, wurde mir klar, dass das Wi-Fi-Netzwerk, mit dem ich verbunden war, möglicherweise nicht legitim war. Ich hatte mich bei GMail angemeldet, während ich mit dem Netzwerk verbunden war. Um auf der sicheren Seite zu sein, rief ich ein Familienmitglied auf meinem Handy an, teilte ihnen mein GMail-Passwort mit und ließ es in etwas anderes ändern. Sie haben das neue Passwort aufgeschrieben, das sie gewählt haben (ohne es mir telefonisch mitzuteilen), und ich habe es von ihnen bekommen, als ich nach Hause kam.

2
Joshua Carmody

Wenn Sie openid und so etwas wie ein yubikey verwenden, das ein einmaliges Passwort verwendet, können sie es nicht wiederverwenden, auch wenn sie Ihr Passwort verwenden

das Problem ist der USB-Port-Zugang

das Yubikey wird als USB-Tastatur angezeigt, sodass keine Treiber auf Administratorebene benötigt werden

2
Crash893

Ich sehe viele Banken, die dies tun. Ihre Kennwortfelder können nur durch Eingabe auf einer Bildschirmtastatur ausgefüllt werden, die zufällig auf der Seite positioniert ist. Es werden also keine Tasten angeklickt, sondern nur Mausklicks. Wenn das Kennwort 8 Zeichen lang ist, werden Sie nur aufgefordert, bestimmte Zeichen einzugeben, sodass möglicherweise etwas wie X00XXX0 Angezeigt wird, bei dem nur die durch die Nullen dargestellten Kennwortzeichen auf der Bildschirmtastatur eingegeben werden müssen.

Die Kombination aus zufällig positionierter Tastatur und Mausklick auf dem Bildschirm und zufällig ausgewählten einzugebenden Zeichen machte alle Mausklickpositionen, die möglicherweise protokolliert wurden, unbrauchbar.

Grüße,

2
Ali

Sie können Ihre gesamte E-Mail an ein temporäres Konto weiterleiten, das Sie bei Ihrer Rückkehr löschen. Dies begrenzt das mögliche Abfangen der E-Mails, die während Ihrer Abwesenheit gesendet wurden, und die Entführung des temporären Kontos.

Da Sie die Weiterleitung von Ihrem realen Konto aus deaktivieren können, können Sie das temporäre Konto deaktivieren, sobald Sie feststellen, dass es kompromittiert wurde.

Dies ist keine perfekte Lösung, bietet Ihnen jedoch einen gewissen Schutz, selbst wenn Ihr Angreifer es schafft, Ihr Passwort zu stehlen.

2
Zach

Einmalpasswörter oder 2-Faktor-Autorisierung

Alle Informationen, die Sie an die Website senden (nicht nur Tastenanschläge), können kompromittiert werden, wenn Sie die Hardware nicht steuern. Daten von allen Geräten, die Sie anschließen (z. B. ein USB-Stick mit KeePass-Datei), können abgerufen werden.

Der einzig richtige Weg, sich davor zu schützen, besteht darin, sicherzustellen, dass alles, was Sie auf diesem Computer getan haben, nützlich war, um sich anzumelden einmal, aber nicht ausreicht, um sich anzumelden erneut, das nächste Mal Die Zeit wird etwas anderes brauchen. Dies bedeutet eine andere Authentifizierung als ein wiederverwendbares Kennwort.

Eine Möglichkeit, dies zu tun, ist eine Liste von Einwegkennwörtern, die jedoch nur begrenzt unterstützt werden. Die meisten vertraulichen Dienste, insbesondere große E-Mail-Anbieter, ermöglichen jedoch eine 2-Faktor-Autorisierung. Zusätzlich zum Kennwort benötigen Sie einen Code, der von einem von Ihnen gesteuerten Gerät generiert wurde, oder beispielsweise ein SMS to Ihre Telefonnummer. Dies ist eine vernünftige Methode zum Schutz vor Keyloggern, da der Angreifer beim Erfassen aller Informationen aus Ihrer aktuellen Sitzung kein zweites Mal anmelden kann, es sei denn, er stiehlt das erforderliche Gerät oder die erforderliche Telefonnummer.

0
Peteris

Sie bringen zwei nicht miteinander verbundene Probleme zusammen. Ein Keylogger ist ein Programm, das auf Ihrem Computer installiert wurde, um die tatsächlichen Tastenanschläge zu überwachen, während Sie sie ausführen. Es hat nichts mit einem Café oder einem anderen öffentlichen Netzwerk zu tun. Wenn Ihr Computer gehackt wurde, haben Sie größere Sorgen, aber die von Ihnen erwähnte Methode kann einen einfachen Keylogger verwirren.

In einem öffentlichen WLAN-Netzwerk müssen Sie sich Sorgen machen, dass andere Computer Ihre Netzwerkpakete abhören und sehen, was Sie senden. Sie können sich davor schützen, indem Sie nur sichere Websites verwenden, die SSL-fähig sind, damit die Verbindung verschlüsselt wird.

0
psusi

Wenn das Café keine drahtlose Verschlüsselung im Router verwendet, sind Sie mit keinem Betriebssystem, Boot-Stick oder auf andere Weise sicher. Wählen Sie ein Café, das drahtlose Verschlüsselung und ein Kennwort verwendet, um eine Verbindung zu seinem Hotspot-Router herzustellen.

Unverschlüsselte drahtlose Verbindungen können von jedem im oder in der Nähe des Cafés leicht abgehört werden. Dadurch wird alles angezeigt, was Sie über die Verbindung senden, einschließlich Anmeldungen und Kennwörtern, die Sie in einen Browser eingeben.

0
Moab

Key Logger werden auf Ihrem lokalen Computer ausgeführt und funktionieren unabhängig davon, welche Internetverbindung Sie verwenden.

Das Problem, das Sie in einem Internetcafé haben, sind Man-in-the-Middle-Angriffe, bei denen andere Netzwerkkollegen Ihren Netzwerkverkehr abfangen können.

Stellen Sie sicher, dass Sie HTTPS Sites verwenden, auf denen Sie können. Der gesamte Datenverkehr wird verschlüsselt, bevor er Ihren Computer verlässt. Die meisten Anmeldungen auf "anständigen" Sites verwenden HTTPS und einige Sites Sie können die gesamte Site in HTTPS durchsuchen, aber überprüfen Sie immer, bevor Sie etwas eingeben, dass eine andere Person nicht sehen soll, dass es sich tatsächlich um HTTPS handelt. Wenn Sie jemals zu einer Site mit einem selbstsignierten SSL-Zertifikat wechseln Dann seien Sie sehr, sehr vorsichtig, da es sich auch um einen Mann im mittleren Angriff handeln könnte. Ich kenne Firefox und IE melden Sie sich, wenn die Seite ein selbstsigniertes Zertifikat hat.

0
squareborg

Wenn Sie sich auf einer Social-Networking-Site wie Facebook anmelden, stellen Sie sicher, dass die Adressleiste facebook.com und nicht facebook-home.com oder ähnliches enthält. Dies ist der Fall von Phishing. Wenn Sie Mozilla Firefox verwenden, gehen Sie zu Tools und dann zu den Sicherheitsoptionen. Von dort aus können Sie überprüfen, ob Ihr Passwort aus dem Speicher entfernt wurde oder nicht, nachdem Sie Ihr Konto geschlossen haben.

0

Ich habe eine alte Methode, die sehr einfach, aber effektiv ist. Holen Sie sich ein pendrive und öffnen Sie eine .txt-Datei auf Ihrem pendrive. Diese Textdatei enthält Ihre Online-Kontokennwörter. Verwenden Sie immer ein Kennwortgenerator-Tool, um Ihr Kennwort zu generieren. Kopieren Sie anschließend einfach das Kennwort mit der Methode "Kopieren + Einfügen" in die TXT-Datei Schließen Sie im Internetcafé einfach Ihr Pendrive an und kopieren Sie die benötigten Passwörter und fügen Sie sie ein. Mit dieser einfachen Methode bleibt Ihr Passwort vor Keyloggern geschützt.

0
kefe